CVE-2026-12482 in Keras
요약
\~에 의해 VulDB • 2026. 07. 14.
keras-team/keras 버전 3.12.0의 취약점으로 인해 공격자가 `keras/src/utils/file_utils.py` 내의 `filter_safe_tarinfos` 검증을 우회하는 악성 tar 아카이브를 생성할 수 있습니다. 구체적으로, 심볼릭 링크 항목은 일반 파일 항목과 동일한 `is_path_in_dir` 검증 대상이 아니므로, 의도된 추출 디렉토리 외부에 심볼릭 링크가 생성될 수 있습니다. 이로 인해 심볼릭 링크 기반의 파일 읽기, 파일 덮어쓰기 또는 디렉토리 탈출 공격으로 이어질 수 있습니다. 이 문제는 `filter_safe_tarinfos`가 tar 경로 순회(Path Traversal)에 대한 유일한 방어 수단인 Python 3.10 및 3.11에서 특히 치명적입니다. 본 취약점은 CVE-2025-12060 및 이전에 보고된 다른 이슈들과 구별됩니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.