CVE-2026-12482 in Kerasinformazioni

Riassunto

di VulDB • 14/07/2026

Una vulnerabilità in keras-team/keras versione 3.12.0 consente a un attaccante di creare un archivio tar malevolo che aggira la convalida `filter_safe_tarinfos` in `keras/src/utils/file_utils.py`. Nello specifico, le voci symlink non sono soggette alla stessa convalida `is_path_in_dir` applicata alle voci file regolari, consentendo la creazione di collegamenti simbolici al di fuori della directory di estrazione prevista. Ciò può portare ad attacchi basati su symlink per la lettura di file, la sovrascrittura di file o l'escape dalla directory (directory escape). Il problema è particolarmente impattante su Python 3.10 e 3.11, dove `filter_safe_tarinfos` rappresenta l'unica difesa contro il path traversal nei tar. Questa vulnerabilità è distinta da CVE-2025-12060 e da altre problematiche segnalate in precedenza.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

@huntr Ai

Prenotare

17/06/2026

Divulgazione

14/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!