CVE-2026-12482 in Kerasinformation

Résumé

par VulDB • 14/07/2026

Une vulnérabilité dans keras-team/keras version 3.12.0 permet à un attaquant de créer une archive tar malveillante qui contourne la validation `filter_safe_tarinfos` dans `keras/src/utils/file_utils.py`. Plus précisément, les entrées de liens symboliques ne sont pas soumises à la même validation `is_path_in_dir` que les entrées de fichiers classiques, ce qui permet la création de liens symboliques en dehors du répertoire d'extraction prévu. Cela peut entraîner des attaques basées sur les liens symboliques pour lire des fichiers, écraser des fichiers ou s'échapper du répertoire (directory escape). Le problème est particulièrement critique sous Python 3.10 et 3.11, où `filter_safe_tarinfos` constitue la seule défense contre le détournement de chemin tar (tar path traversal). Cette vulnérabilité est distincte de CVE-2025-12060 et d'autres problèmes précédemment signalés.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

@huntr Ai

Réserver

17/06/2026

Divulgation

14/07/2026

Modérer

accepté

Entrée

VDB-378257

CPE

prêt

EPSS

0.00301

KEV

non

Activités

faible

Sources

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!