Keras · Keras · CVE-2025-12060
**Nome do Software Vulnerável e Versões Afetadas**
Keras (versões afetadas não especificadas)
**Descrição**
A API `keras.utils.get file` no Keras está suscetível a um problema de path traversal quando a opção `extract=True` é utilizada com arquivos tar. O utilitário emprega a função `tarfile.extractall` do Python sem utilizar o recurso `filter="data"`. Um atacante pode criar um arquivo tar malicioso com links simbólicos especialmente construídos. A extração deste arquivo permite ao atacante escrever arquivos arbitrários em locais fora da pasta de destino pretendida no sistema de arquivos. Este problema decorre de uma fraqueza na funcionalidade subjacente do tarfile do Python.
**Recomendações**
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.