CVE-2026-12482 in Keras
Riassunto
di VulDB • 14/07/2026
Una vulnerabilità in keras-team/keras versione 3.12.0 consente a un attaccante di creare un archivio tar malevolo che aggira la convalida `filter_safe_tarinfos` in `keras/src/utils/file_utils.py`. Nello specifico, le voci symlink non sono soggette alla stessa convalida `is_path_in_dir` applicata alle voci file regolari, consentendo la creazione di collegamenti simbolici al di fuori della directory di estrazione prevista. Ciò può portare ad attacchi basati su symlink per la lettura di file, la sovrascrittura di file o l'escape dalla directory (directory escape). Il problema è particolarmente impattante su Python 3.10 e 3.11, dove `filter_safe_tarinfos` rappresenta l'unica difesa contro il path traversal nei tar. Questa vulnerabilità è distinta da CVE-2025-12060 e da altre problematiche segnalate in precedenza.
If you want to get best quality of vulnerability data, you may have to visit VulDB.