CVE-2026-12480
ŚrednieCVSS 5.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 3 — wyżej niż 3% wszystkich znanych CVE
Streszczenie
Podatność w bibliotece Keras (do wersji 3.13.2 włącznie) umożliwia odczyt dowolnego pliku HDF5 z systemu ofiary. Wynika to z niepełnej poprawki dla CVE-2026-1669 i braku weryfikacji właściwości `dataset.is_virtual` w metodach `H5IOStore._verify_dataset()` oraz `file_editor.py`. Atakujący może dostarczyć złośliwy plik modelu `.keras` lub wag `.h5` zawierający wirtualny zestaw danych (VDS) odnoszący się do zewnętrznych plików HDF5.
Ocena ryzyka
Ryzyko polega na potencjalnym wycieku poufnych danych, gdy ofiara załaduje spreparowany model za pomocą `keras.models.load_model()` lub `keras.saving.load_model()`. Atakujący może odczytać dowolne pliki HDF5 dostępne dla użytkownika uruchamiającego proces.
Rekomendacja
Należy natychmiast zaktualizować bibliotekę Keras do wersji 3.12.2 lub 3.14.1, które zawierają kompletną poprawkę. Przed aktualizacją unikaj ładowania modeli z niezaufanych źródeł.
Oryginalny opis (angielski, źródło NVD)
Keras versions up to and including 3.13.2 are vulnerable to an arbitrary HDF5 file read due to an incomplete fix for CVE-2026-1669. The vulnerability resides in the `H5IOStore._verify_dataset()` and `file_editor.py` methods, which fail to check the `dataset.is_virtual` property of HDF5 datasets. This allows an attacker to craft a malicious `.keras` model archive or `.h5` weights file containing a Virtual Dataset (VDS) that references external HDF5 files on the victim's filesystem. When the victim loads the model using `keras.models.load_model()` or `keras.saving.load_model()`, the external file is transparently read, leading to potential information disclosure. Fixed in versions 3.12.2 and 3.14.1.

