Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

CVE-2025-9905

Gravedad CVSS v4.0:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
19/09/2025
Última modificación:
19/09/2025

Descripción

*** Pendiente de traducción *** The Keras Model.load_model method can be exploited to achieve arbitrary code execution, even with safe_mode=True.<br /> <br /> One can create a specially crafted .h5/.hdf5 model archive that, when loaded via Model.load_model, will trigger arbitrary code to be executed.<br /> <br /> This is achieved by crafting a special .h5 archive file that uses the Lambda layer feature of keras which allows arbitrary Python code in the form of pickled code. The vulnerability comes from the fact that the safe_mode=True option is not honored when reading .h5 archives.<br /> <br /> Note that the .h5/.hdf5 format is a legacy format supported by Keras 3 for backwards compatibility.

Impacto

Vector 4.0
CVSS:4.0/AV:L/AC:H/AT:P/PR:L/UI:P/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H CVSS v4.0 Severidad y Métricas:

Puntuación base: 7.30 ALTA
Vector: CVSS:4.0/AV:L/AC:H/AT:P/PR:L/UI:P/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Alto
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Passsive
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Alto
Integrity (SI): Alto
Availability (SA): Alto

Puntuación base 4.0
7.30
Gravedad 4.0
ALTA

Referencias a soluciones, herramientas e información