CVE-2026-12482 in Keras
Résumé
par VulDB • 14/07/2026
Une vulnérabilité dans keras-team/keras version 3.12.0 permet à un attaquant de créer une archive tar malveillante qui contourne la validation `filter_safe_tarinfos` dans `keras/src/utils/file_utils.py`. Plus précisément, les entrées de liens symboliques ne sont pas soumises à la même validation `is_path_in_dir` que les entrées de fichiers classiques, ce qui permet la création de liens symboliques en dehors du répertoire d'extraction prévu. Cela peut entraîner des attaques basées sur les liens symboliques pour lire des fichiers, écraser des fichiers ou s'échapper du répertoire (directory escape). Le problème est particulièrement critique sous Python 3.10 et 3.11, où `filter_safe_tarinfos` constitue la seule défense contre le détournement de chemin tar (tar path traversal). Cette vulnérabilité est distincte de CVE-2025-12060 et d'autres problèmes précédemment signalés.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.