CVE-2026-12482 in Kerasthông tin

Tóm tắt

Bởi VulDB • 14/07/2026

Một lỗ hổng trong keras-team/keras phiên bản 3.12.0 cho phép kẻ tấn công tạo ra một kho lưu trữ tar độc hại nhằm vượt qua xác thực `filter_safe_tarinfos` trong `keras/src/utils/file_utils.py`. Cụ thể, các mục symlink không được áp dụng cùng quy trình kiểm tra `is_path_in_dir` như các mục tệp thông thường, cho phép tạo liên kết tượng trưng (symlink) bên ngoài thư mục giải nén dự kiến. Điều này có thể dẫn đến các cuộc tấn công đọc tệp dựa trên symlink, ghi đè tệp hoặc thoát khỏi thư mục. Vấn đề đặc biệt nghiêm trọng đối với Python 3.10 và 3.11, nơi `filter_safe_tarinfos` là biện pháp phòng thủ duy nhất chống lại việc duyệt đường dẫn tar (tar path traversal). Lỗ hổng này khác biệt so với CVE-2025-12060 và các vấn đề đã được báo cáo trước đó.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

chịu trách nhiệm

@huntr Ai

Đặt trước

17/06/2026

Tiết lộ

14/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00301

KEV

không

Các hoạt động

thấp

Nguồn

Interested in the pricing of exploits?

See the underground prices here!