Informazioni sul CVE-2025-1550

Arbitrary Code Execution via Crafted Keras Config for Model Loading

CWE ID: CWE-94

Base Score (CVSS): 7.3

CVE: CVE-2025-1550

Descrizione: Il modello Keras.load_model funzione consente l’esecuzione di codice arbitrario, anche con `safe_mode=True`, attraverso un archivio .keras costruito manualmente. Modificando il file `config.json` all’interno dell’archivio, un attaccante può specificare moduli e funzioni Python arbitrarie, insieme ai loro argomenti, per essere caricati e eseguiti durante il caricamento del modello.

Vettore di attacco

Punteggio CVSS

Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.

Punteggio Base (calcolato da AziendaSicura): 0.0 (None)

Riassunto: .

Dettaglio del Vettore

Metrica	Valore	Significato	Descrizione

Riferimenti esterni

https://github.com/keras-team/keras/pull/20751

Prodotti interessati

Google – Keras

Relazioni con altri prodotti

Produttore:Google
Prodotto: Keras
Anno: 2025
CWE: CWE-94
CVSS: 7.3

Ulteriori risorse disponibili

Vulnerabilità scoperte nello stesso anno (2025)