CVE-2026-12482 in Kerasinformação

Sumário

de VulDB • 15/07/2026

Uma vulnerabilidade no keras-team/keras versão 3.12.0 permite que um atacante crie um arquivo tar malicioso que contorna a validação `filter_safe_tarinfos` em `keras/src/utils/file_utils.py`. Especificamente, as entradas de symlink não estão sujeitas à mesma validação `is_path_in_dir` aplicada às entradas de arquivos regulares, permitindo que symlinks sejam criados fora do diretório de extração pretendido. Isso pode levar a ataques de leitura de arquivo baseados em symlink, sobrescrita de arquivo ou escape de diretório. O problema é particularmente impactante no Python 3.10 e 3.11, onde `filter_safe_tarinfos` é a única defesa contra travessia de caminho tar (tar path traversal). Esta vulnerabilidade é distinta do CVE-2025-12060 e de outras questões relatadas anteriormente.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsável

@huntr Ai

Reservar

17/06/2026

Divulgação

14/07/2026

Moderação

aceite

Entrada

VDB-378257

CPE

pronto

EPSS

0.00301

KEV

não

Atividades

baixo

Fontes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!