CVE-2026-46699
WysokieCVSS 7.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 10 - wyżej niż 10% wszystkich znanych CVE
Streszczenie
W narzędziu conda-smithy, przed wersją 3.61.0, występowała podatność, która umożliwiała niezamierzony dostęp do repozytoriów feedstock poprzez przejęcie nazwy użytkownika GitHub. Problem wynikał z użycia zmiennych nazw użytkowników GitHub jako identyfikatorów do kierowania zaproszeniami do repozytoriów.
Ocena ryzyka
Organizacje mogą być narażone na nieautoryzowany dostęp do swoich repozytoriów, co może prowadzić do nieautoryzowanych zmian w kodzie lub wycieku danych.
Rekomendacja
Zaleca się aktualizację narzędzia conda-smithy do wersji 3.61.0 lub nowszej, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
conda-smithy is a tool for combining a conda recipe with configurations to build using freely hosted CI services into a single repository. Prior to version 3.61.0, a vulnerability in the conda-forge automated webservices allowed unintended write access to feedstock repositories through GitHub username takeover. The root cause is the use of mutable GitHub usernames as identifiers for repository invitation routing, rather than stable, immutable GitHub user IDs. Version 3.61.0 fixes the issue.

