<?xml version="1.0" encoding="UTF-8"?>
<VrdaData refvuldefversion="1.2" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://vrda.jpcert.or.jp" xsi:schemaLocation="http://vrda.jpcert.or.jp/feed/xsd/vrda_data.xsd">
  <VrdaDataProvider>
    <Name>JVN iPedia</Name>
    <URL>http://jvndb.jvn.jp</URL>
  </VrdaDataProvider>
  <VrdaDataSourceType>Advisory</VrdaDataSourceType>
  <Vulinfo revisionno="1" lang="ja" invalidated="false">
    <VulinfoID>JVNDB-2026-021972</VulinfoID>
    <VulinfoData>
      <Title>Keras&#12395;&#12362;&#12369;&#12427;&#12497;&#12473;&#12488;&#12521;&#12496;&#12540;&#12469;&#12523;&#12398;&#33030;&#24369;&#24615;</Title>
      <VulinfoDescription>
        <Overview>Keras&#12398;&#12496;&#12540;&#12472;&#12519;&#12531;3.14.0&#26410;&#28288;&#12395;&#12399;&#12289;keras/src/utils/file_utils.py&#12395;&#12354;&#12427;&#12450;&#12540;&#12459;&#12452;&#12502;&#23637;&#38283;&#12518;&#12540;&#12486;&#12451;&#12522;&#12486;&#12451;&#12395;&#12497;&#12473;&#12539;&#12488;&#12521;&#12496;&#12540;&#12469;&#12523;&#12398;&#33030;&#24369;&#24615;&#12364;&#12354;&#12426;&#12414;&#12377;&#12290;filter_safe_tarinfos()&#12362;&#12424;&#12403;filter_safe_zipinfos()&#38306;&#25968;&#12399;&#12289;&#12450;&#12540;&#12459;&#12452;&#12502;&#20869;&#12513;&#12531;&#12496;&#12540;&#12398;&#12497;&#12473;&#12434;&#23455;&#38555;&#12398;&#23637;&#38283;&#20808;&#12391;&#12399;&#12394;&#12367;&#12289;&#12503;&#12525;&#12475;&#12473;&#12398;&#12459;&#12524;&#12531;&#12488;&#12527;&#12540;&#12461;&#12531;&#12464;&#12487;&#12451;&#12524;&#12463;&#12488;&#12522;(CWD)&#12395;&#23550;&#12375;&#12390;&#26908;&#35388;&#12375;&#12414;&#12377;&#12290;&#12503;&#12525;&#12475;&#12473;&#12364;CWD&#12434;/&#12395;&#35373;&#23450;&#12375;&#12390;&#23455;&#34892;&#12373;&#12428;&#12427;&#22580;&#21512;&#65288;Docker&#12467;&#12531;&#12486;&#12490;&#12289;CI/CD&#12521;&#12531;&#12490;&#12540;&#12289;Jupyter&#29872;&#22659;&#12391;&#19968;&#33324;&#30340;&#65289;&#12289;&#26908;&#35388;&#12398;&#22659;&#30028;&#12364;&#12501;&#12449;&#12452;&#12523;&#12471;&#12473;&#12486;&#12512;&#12398;&#12523;&#12540;&#12488;&#12392;&#12394;&#12426;&#12289;&#12488;&#12521;&#12496;&#12540;&#12469;&#12523;&#12497;&#12473;&#12364;&#12475;&#12461;&#12517;&#12522;&#12486;&#12451;&#12481;&#12455;&#12483;&#12463;&#12434;&#22238;&#36991;&#12391;&#12365;&#12390;&#12375;&#12414;&#12356;&#12414;&#12377;&#12290;&#12373;&#12425;&#12395;&#12289;zip&#12501;&#12451;&#12523;&#12479;&#12540;&#12395;&#12399;&#12502;&#12525;&#12483;&#12463;&#12373;&#12428;&#12383;&#12456;&#12531;&#12488;&#12522;&#12395;&#36973;&#36935;&#12375;&#12383;&#38555;&#12395;AttributeError&#12434;&#24341;&#12365;&#36215;&#12371;&#12377;&#12496;&#12464;&#12364;&#23384;&#22312;&#12375;&#12289;&#23637;&#38283;&#12364;&#19981;&#23436;&#20840;&#12395;&#12394;&#12427;&#21839;&#38988;&#12418;&#21547;&#12414;&#12428;&#12390;&#12356;&#12414;&#12377;&#12290;&#21152;&#12360;&#12390;&#12289;Python 3.11&#12398;&#12452;&#12531;&#12473;&#12488;&#12540;&#12523;&#12391;&#12399;filter="data"&#12398;&#23433;&#20840;&#32178;&#12364;&#27424;&#22914;&#12375;&#12390;&#12362;&#12426;&#12289;&#27424;&#38501;&#12398;&#12354;&#12427;CWD&#12505;&#12540;&#12473;&#12398;&#12501;&#12451;&#12523;&#12479;&#12540;&#12398;&#12415;&#12395;&#20381;&#23384;&#12375;&#12390;&#12356;&#12414;&#12377;&#12290;&#12371;&#12398;&#33030;&#24369;&#24615;&#12364;&#24746;&#29992;&#12373;&#12428;&#12427;&#12392;&#12289;&#24847;&#22259;&#12375;&#12383;&#23637;&#38283;&#12487;&#12451;&#12524;&#12463;&#12488;&#12522;&#12398;&#22806;&#37096;&#12395;&#20219;&#24847;&#12398;&#12501;&#12449;&#12452;&#12523;&#26360;&#12365;&#36796;&#12415;&#12364;&#21487;&#33021;&#12392;&#12394;&#12426;&#12289;&#25915;&#25731;&#32773;&#12364;&#35373;&#23450;&#12501;&#12449;&#12452;&#12523;&#12398;&#19978;&#26360;&#12365;&#12420;&#24746;&#24847;&#12398;&#12354;&#12427;&#12467;&#12540;&#12489;&#12398;&#27880;&#20837;&#12289;&#27231;&#26800;&#23398;&#32722;&#12487;&#12540;&#12479;&#12475;&#12483;&#12488;&#12420;&#12497;&#12452;&#12503;&#12521;&#12452;&#12531;&#12398;&#30772;&#25613;&#12434;&#24341;&#12365;&#36215;&#12371;&#12377;&#24656;&#12428;&#12364;&#12354;&#12426;&#12414;&#12377;&#12290;</Overview>
      </VulinfoDescription>
      <Affected>
        <AffectedItem affectedstatus="vulnerable">
          <Lapt>cpe:/a:keras:keras</Lapt>
        </AffectedItem>
      </Affected>
      <FactAnalysis>
      </FactAnalysis>
      <Related>
        <RelatedItem relationtype="self" origin="jvnipedia">
          <URL>https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-021972.html</URL>
        </RelatedItem>
        <RelatedItem relationtype="alternate" origin="other">
          <Name>Common Vulnerabilities and Exposures (CVE)</Name>
          <VulinfoID>CVE-2026-11816</VulinfoID>
          <URL>https://www.cve.org/CVERecord?id=CVE-2026-11816</URL>
        </RelatedItem>
        <RelatedItem relationtype="alternate" origin="other">
          <Name>National Vulnerability Database (NVD)</Name>
          <VulinfoID>CVE-2026-11816</VulinfoID>
          <URL>https://nvd.nist.gov/vuln/detail/CVE-2026-11816</URL>
        </RelatedItem>
        <RelatedItem relationtype="alternate" origin="other">
          <Name>Red Hat Customer Portal</Name>
          <VulinfoID>CVE-2026-11816 - Red Hat Customer Portal</VulinfoID>
          <URL>https://access.redhat.com/security/cve/CVE-2026-11816</URL>
        </RelatedItem>
        <RelatedItem relationtype="reference" origin="other">
          <Name>JVNDB</Name>
          <VulinfoID>CWE-22</VulinfoID>
          <Title>&#12497;&#12473;&#12539;&#12488;&#12521;&#12496;&#12540;&#12469;&#12523;</Title>
          <URL>https://jvndb.jvn.jp/ja/cwe/CWE-22.html</URL>
        </RelatedItem>
        <RelatedItem relationtype="reference" origin="other">
          <Name>Red Hat</Name>
          <VulinfoID>https://security.access.redhat.com/data/csaf/v2/vex/2026/cve-2026-11816.json</VulinfoID>
          <URL>https://security.access.redhat.com/data/csaf/v2/vex/2026/cve-2026-11816.json</URL>
        </RelatedItem>
        <RelatedItem relationtype="reference" origin="other">
          <Name>Red Hat Bugzilla</Name>
          <VulinfoID>2487912  (CVE-2026-11816) CVE-2026-11816 keras: Keras: Arbitrary file write via path traversal in archive extraction utilities</VulinfoID>
          <URL>https://bugzilla.redhat.com/show_bug.cgi?id=2487912</URL>
        </RelatedItem>
        <RelatedItem relationtype="reference" origin="other">
          <Name>huntr</Name>
          <VulinfoID>huntr - The world's first bug bounty platform for AI/ML</VulinfoID>
          <URL>https://huntr.com/bounties/a07e3983-7158-4419-af2b-38f1dea01a4f</URL>
        </RelatedItem>
        <RelatedItem relationtype="reference" origin="other">
          <Name>&#38306;&#36899;&#25991;&#26360;</Name>
          <VulinfoID>Don't let unit test modify the source folder. (#22194)  keras-team/keras@2465b66  GitHub</VulinfoID>
          <URL>https://github.com/keras-team/keras/commit/2465b6657b02c8eed308759b7e800e295ae01888</URL>
        </RelatedItem>
      </Related>
      <DateFirstPublished>2026-07-02T11:02:30+09:00</DateFirstPublished>
      <DateLastUpdated>2026-07-02T11:02:30+09:00</DateLastUpdated>
    </VulinfoData>
  </Vulinfo>
</VrdaData>
