关键信息 漏洞概述 漏洞名称: CON-01-010 WP1: Arbitrary Code Execution via Insecure Version Parsing CVE ID: CVE-2025-49998 严重性: Moderate 影响版本与修复版本 受影响版本: = 4.15.0 描述 问题: setup 脚本由于在解析自定义格式的 meta.yaml 文件中的版本信息时使用了不安全的 函数,导致任意代码执行漏洞。 攻击方式: 攻击者可以通过控制 meta.yaml 文件注入恶意代码,在文件处理过程中执行任意代码。 利用条件: 需要修改 recipe 文件,通过操纵 变量和引入恶意 meta.yaml 文件。在 CI/CD 管道中更容易实现,但在典型环境中较为少见。 PoC 命令 输出 根因 原因: 版本解析过程中未对从 meta.yaml 提取的版本赋值进行清理,直接使用 函数处理。 受影响文件 setup.py 受影响代码 建议修复方案 替代方案: 使用 Python 的 ,仅评估字面表达式,防止任意代码执行。 其他方法: 实现专用解析函数,确保只处理正确格式的版本数据,从而避免类似漏洞。