CVE-2026-12482 in Keras情報

要約

〜によって VulDB • 2026年07月14日

keras-team/keras バージョン 3.12.0 に脆弱性があり、攻撃者が `keras/src/utils/file_utils.py` の `filter_safe_tarinfos` 検証をバイパスする悪意のある tar アーカイブを作成できる。具体的には、シンボリックリンクのエントリは通常ファイルのエントリと同じく `is_path_in_dir` 検証の対象とならず、意図的な展開ディレクトリの外部にシンボリックリンクを作成することが可能となる。これにより、シンボリックリンクを利用したファイル読み取り攻撃、ファイル上書き攻撃、またはディレクトリエスケープ攻撃につながる可能性がある。本問題は特に Python 3.10 および 3.11 で影響が大きく、これらのバージョンでは `filter_safe_tarinfos` が tar パストラバーサルの唯一の防御手段となっている。この脆弱性は CVE-2025-12060 や他の以前に報告された問題とは異なるものである。

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

責任者

@huntr Ai

予約する

2026年06月17日

モデレーション

承諾済み

エントリ

VDB-378257

EPSS

0.00000

アクティビティ

低い

ソース

Do you know our Splunk app?

Download it now for free!