A dependency confusion vulnerability was reported in the Antilles open-source software prior to version 1.0.1 that could allow for remote code execution during installation due to a package listed in requirements.txt not existing in the public package index (PyPi). MITRE classifies this weakness as an Uncontrolled Search Path Element (CWE-427) in which a private package dependency may be replaced by an unauthorized package of the same name published to a well-known public repository such as PyPi. The configuration has been updated to only install components built by Antilles, removing all other public package indexes. Additionally, the antilles-tools dependency has been published to PyPi.
Se ha informado de una vulnerabilidad de confusión de dependencias en el software de código abierto Antilles versiones anteriores a 1.0.1, que podría permitir una ejecución de código remota durante la instalación debido a que un paquete enumerado en el archivo requirements.txt no se presenta en el índice de paquetes públicos (PyPi). MITRE clasifica esta debilidad como un elemento de ruta de búsqueda no controlada (CWE-427) en el que una dependencia de un paquete privado puede ser sustituida por un paquete no autorizado del mismo nombre publicado en un repositorio público conocido como PyPi. La configuración ha sido actualizada para instalar únicamente componentes construidos por Antilles, eliminando todos los demás índices de paquetes públicos. Además, la dependencia de antilles-tools ha sido publicada en PyPi
