发布日期：2025-11-28
更新日期：2025-12-10

受影响系统：

Keras Keras 3.11.3

描述：

---

CVE(CAN) ID: CVE-2025-12638

Keras是Keras开源的一个多后端深度学习框架。
Keras 3.11.3版本存在路径遍历漏洞，该漏洞源于keras.utils.get_file函数在提取tar归档时未使用关键的安全参数，触发符号链接解析缺陷，攻击者可利用该漏洞绕过安全防护，导致在缓存目录之外进行任意文件写入，可能引发系统被入侵或恶意代码执行。

<**>

建议：

---

厂商补丁：

Keras
-----
厂商尚未提供漏洞修复方案，请关注厂商主页更新：
https://keras.io/

浏览次数：122
严重程度：0（网友投票）