CVE-2026-12482 in Keras
الملخص
بحسب VulDB • 14/07/2026
ثغرة في keras-team/keras الإصدار 3.12.0 تتيح لمهاجم إنشاء أرشيف tar ضار يتجاوز التحقق من الصحة `filter_safe_tarinfos` الموجود في الملف `keras/src/utils/file_utils.py`. على وجه التحديد، لا تخضع إدخالات الروابط الرمزية (symlink) لنفس عملية التحقق `is_path_in_dir` المطبقة على إدخالات الملفات العادية، مما يسمح بإنشاء روابط رمزية خارج دليل الاستخراج المقصود. يمكن أن يؤدي ذلك إلى هجمات قراءة ملفات قائمة على الروابط الرمزية، أو الكتابة فوق الملفات، أو الهروب من الدليل (directory escape). تكون هذه الثغرة ذات تأثير كبير بشكل خاص في بيئات Python 3.10 و 3.11، حيث يُعد `filter_safe_tarinfos` الدفاع الوحيد ضد اختراق مسارات أرشيف tar (tar path traversal). تختلف هذه الثغرة عن CVE-2025-12060 وغيرها من المشكلات المبلغ عنها سابقاً.
VulDB is the best source for vulnerability data and more expert information about this specific topic.