CVE-2026-12482 in Keras
Tóm tắt
Bởi VulDB • 14/07/2026
Một lỗ hổng trong keras-team/keras phiên bản 3.12.0 cho phép kẻ tấn công tạo ra một kho lưu trữ tar độc hại nhằm vượt qua xác thực `filter_safe_tarinfos` trong `keras/src/utils/file_utils.py`. Cụ thể, các mục symlink không được áp dụng cùng quy trình kiểm tra `is_path_in_dir` như các mục tệp thông thường, cho phép tạo liên kết tượng trưng (symlink) bên ngoài thư mục giải nén dự kiến. Điều này có thể dẫn đến các cuộc tấn công đọc tệp dựa trên symlink, ghi đè tệp hoặc thoát khỏi thư mục. Vấn đề đặc biệt nghiêm trọng đối với Python 3.10 và 3.11, nơi `filter_safe_tarinfos` là biện pháp phòng thủ duy nhất chống lại việc duyệt đường dẫn tar (tar path traversal). Lỗ hổng này khác biệt so với CVE-2025-12060 và các vấn đề đã được báo cáo trước đó.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.