CVE-2026-12482 in Kerasالمعلومات

الملخص

بحسب VulDB • 14/07/2026

ثغرة في keras-team/keras الإصدار 3.12.0 تتيح لمهاجم إنشاء أرشيف tar ضار يتجاوز التحقق من الصحة `filter_safe_tarinfos` الموجود في الملف `keras/src/utils/file_utils.py`. على وجه التحديد، لا تخضع إدخالات الروابط الرمزية (symlink) لنفس عملية التحقق `is_path_in_dir` المطبقة على إدخالات الملفات العادية، مما يسمح بإنشاء روابط رمزية خارج دليل الاستخراج المقصود. يمكن أن يؤدي ذلك إلى هجمات قراءة ملفات قائمة على الروابط الرمزية، أو الكتابة فوق الملفات، أو الهروب من الدليل (directory escape). تكون هذه الثغرة ذات تأثير كبير بشكل خاص في بيئات Python 3.10 و 3.11، حيث يُعد `filter_safe_tarinfos` الدفاع الوحيد ضد اختراق مسارات أرشيف tar (tar path traversal). تختلف هذه الثغرة عن CVE-2025-12060 وغيرها من المشكلات المبلغ عنها سابقاً.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مسؤول

@huntr Ai

حجز

17/06/2026

إفشاء

14/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-378257

EPSS

0.00000

KEV

لا

النشاطات

منخفض

المصادر

Interested in the pricing of exploits?

See the underground prices here!