CVE-2025-35471

conda-forge openssl-feedstock before 066e83c (2024-05-20), on Microsoft Windows, configures OpenSSL to use an OPENSSLDIR file path that can be written to by non-privilged local users. By writing a specially crafted openssl.cnf file in OPENSSLDIR, a non-privileged local user can execute arbitrary code with the privileges of the user or process loading openssl-feedstock DLLs. Miniforge before 24.5.0 is also affected.
Configurations

No configuration.

History

13 May 2025, 19:35

Type Values Removed Values Added
Summary
  • (es) Conda-forge openssl-feedstock anterior a la versión 066e83c (20/05/2024), en Microsoft Windows, configura OpenSSL para usar una ruta de archivo OPENSSLDIR accesible para usuarios locales sin privilegios. Al escribir un archivo openssl.cnf especialmente manipulado en OPENSSLDIR, un usuario local sin privilegios puede ejecutar código arbitrario con sus privilegios o procesar la carga de DLL de openssl-feedstock. Miniforge anterior a la versión 24.5.0 también se ve afectado.

13 May 2025, 02:15

Type Values Removed Values Added
New CVE

Information

Published : 2025-05-13 02:15

Updated : 2025-05-13 19:35


NVD link : CVE-2025-35471

Mitre link : CVE-2025-35471

CVE.ORG link : CVE-2025-35471


JSON object : View

Products Affected

No product.

CWE
CWE-427

Uncontrolled Search Path Element