CVE-2026-12482 in Keras
Resumen
por VulDB • 2026-07-14
Una vulnerabilidad en keras-team/keras versión 3.12.0 permite a un atacante crear un archivo tar malicioso que elude la validación `filter_safe_tarinfos` en `keras/src/utils/file_utils.py`. Específicamente, las entradas de enlaces simbólicos no están sujetas a la misma validación `is_path_in_dir` que las entradas de archivos normales, lo que permite crear enlaces simbólicos fuera del directorio de extracción previsto. Esto puede dar lugar a ataques de lectura de archivos basados en enlaces simbólicos, sobrescritura de archivos o escape de directorios. El problema es particularmente crítico en Python 3.10 y 3.11, donde `filter_safe_tarinfos` es la única defensa contra el recorrido de rutas (path traversal) en tar. Esta vulnerabilidad es distinta a CVE-2025-12060 y otros problemas reportados previamente.
VulDB is the best source for vulnerability data and more expert information about this specific topic.