【漏洞通告】Apache Fory PyFory反序列化策略绕过漏洞(CVE-2026-48207)
发布时间 2026-05-28一、漏洞概述
Apache Fory是一款高性能跨语言序列化与反序列化框架,支持Java、Python等多种语言环境,旨在实现低延迟、高吞吐的数据交换与对象传输。PyFory为其Python实现组件,支持Python-native对象序列化,广泛应用于分布式计算、缓存、消息传输及数据处理等场景。
2026年5月28日,启明星辰安全应急响应中心(VSRC)监测到Apache Fory PyFory反序列化策略绕过漏洞。由于PyFory在Python-native模式下,ReduceSerializer在reduce-state恢复及全局名称解析过程中未完整执行DeserializationPolicy校验逻辑,导致攻击者可构造恶意序列化数据绕过安全策略限制。当应用启用非严格模式并反序列化攻击者可控数据时,攻击者可能调用危险类、函数或模块属性,进而执行任意代码、获取敏感数据或控制应用进程。该漏洞可能导致业务系统遭受远程攻击,并带来数据泄露、业务中断及合规风险。
二、影响范围
0.13.0 <= Apache Fory(pyfory) < 1.0.0
三、安全措施
3.1 升级版本
官方已发布修复补丁,以修复该漏洞。
Apache Fory(pyfory) >= 1.0.0
下载链接:
https://fory.apache.org/download/
3.2 临时措施
暂无。
3.3 通用建议
定期更新系统补丁,减少系统漏洞,提升服务器的安全性。
加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。
使用企业级安全产品,提升企业的网络安全性能。
加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。
启用强密码策略并设置为定期修改。
3.4 参考链接
https://nvd.nist.gov/vuln/detail/CVE-2026-48207/
https://www.openwall.com/lists/oss-security/2026/05/21/10
https://fory.apache.org/security/cve-2026-48207-pyfory-reduceserializer-deserializationpolicy-bypass
京公网安备11010802024551号