CVE-2025-12060

Nome do Software Vulnerável e Versões Afetadas Keras (versões afetadas não especificadas)

Descrição A API keras.utils.get file no Keras está suscetível a um problema de path traversal quando a opção extract=True é utilizada com arquivos tar. O utilitário emprega a função tarfile.extractall do Python sem utilizar o recurso filter="data". Um atacante pode criar um arquivo tar malicioso com links simbólicos especialmente construídos. A extração deste arquivo permite ao atacante escrever arquivos arbitrários em locais fora da pasta de destino pretendida no sistema de arquivos. Este problema decorre de uma fraqueza na funcionalidade subjacente do tarfile do Python.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.