A nyílt forráskódú Keras könyvtárban felfedezett sebezhetőség lehetővé teheti a támadók számára tetszőleges helyi fájlok olvasását, illetve szerveroldali kérések (Server-Side Request Forgery – SSRF) manipulálását. A Keras a Python-interfésszel ellátott, magas szintű mélytanulási API, amely lehetővé teszi neurális hálózatok egyszerű kialakítását és futtatását JAX, TensorFlow és PyTorch környezetekben.
A CVE-2025-12058 azonosítóval nyomon követett (CVSS 5,9) közepes súlyosságú sebezhetőség abból ered, hogy a könyvtár StringLookup és IndexLookup előfeldolgozó rétegei bemenetként elfogadnak fájlútvonalakat vagy URL-eket a szókincs definiálásához. Deszerializáláskor ezek a rétegek automatikusan hozzáférnek a hivatkozott fájlokhoz anélkül, hogy megfelelő érvényesítést vagy korlátozást végeznének és a fájlok tartalmát beépítik a modell állapotába. A vállalat szerint ennek a viselkedésnek a következménye, hogy rosszindulatú modellek használatával tetszőleges helyi fájlok olvashatók ki, illetve a szókincsmezőkön keresztül információk szivárogtathatók ki, továbbá SSRF-támadások hajthatók végre.
A támadók úgy használhatják ki a sebezhetőséget, hogy speciálisan előkészített szókincs-paraméterekkel feltöltenek rosszindulatú Keras-modelleket nyilvános tárolókba. Amikor az áldozat letölt és betölt egy ilyen modellt, a deszerializálás során a hivatkozott fájlok (például az SSH privát kulcsai) a modell szókincsébe kerülhetnek, és a támadó a modell újbóli letöltésével vagy a szókincsek kinyerésével visszaszerezheti ezeket az adatokat.
Egy rosszindulatú modell telepítése olyan felhőalapú környezetbe, ahol elérhető az instance metadata service, lehetővé teheti az IAM-hitelesítő adatok megszerzését, amellyel a támadó kompromittálhatja a szervezet felhőerőforrásait.
A sebezhetőséget a Keras 3.11.4-es verziójában javították, és a szókincsfájlok ezentúl közvetlenül a Keras-archívumba kerülnek, így onnan töltődnek be az inicializálás során. Emellett a safe_mode engedélyezése mellett már nem engedélyezett a tetszőleges szókincsfájlok betöltése.