【漏洞通告】Apache Fory PyFory反序列化策略绕过漏洞(CVE-2026-48207)
摘要
2026年5月28日,启明星辰安全应急响应中心(VSRC)监测到Apache Fory PyFory反序列化策略绕过漏洞。
正文
一、漏洞概述 Apache Fory是一款高性能跨语言序列化与反序列化框架,支持Java、Python等多种语言环境,旨在实现低延迟、高吞吐的数据交换与对象传输。PyFory为其Python实现组件,支持Python-native对象序列化,广泛应用于分布式计算、缓存、消息传输及数据处理等场景。 2026年5月28日,启明星辰安全应急响应中心(VSRC)监测到Apache Fory PyFory反序列化策略绕过漏洞。由于PyFory在Python-native模式下,ReduceSerializer在reduce-state恢复及全局名称解析过程中未完整执行DeserializationPolicy校验逻辑,导致攻击者可构造恶意序列化数据绕过安全策略限制。当应用启用非严格模式并反序列化攻击者可控数据时,攻击者可能调用危险类、函数或模块属性,进而执行任意代码、获取敏感数据或控制应用进程。该漏洞可能导致业务系统遭受远程攻击,并带来数据泄露、业务中断及合规风险。 二、影响范围 0.13.0 <= Apache Fory(pyfory) < 1.0.0 三、安全措施 3.1 升级版本 官方已发布修复补丁,以修复该漏洞。 Apache Fory(pyfory) >= 1.0.0 下载链接: https://fory.apache.org/download/ 3.2 临时措施 暂无。 3.3 通用建议 定期更新系统补丁,减少系统漏洞,提升服务器的安全性。 加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。 使用企业级安全产品,提升企业的网络安全性能。 加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。 启用强密码策略并设置为定期修改。 3.4 参考链接 https://nvd.nist.gov/vuln/detail/CVE-2026-48207/ https://www.openwall.com/lists/oss-security/2026/05/21/10 https://fory.apache.org/security/cve-2026-48207-pyfory-reduceserializer-deserializationpolicy-bypass 上一篇 下一篇
标签
- source:venustech
- type:vuln-bulletin