Apache Fory是一款高性能的跨语言序列化框架,支持Java、Python、Go、JavaScript等多种编程语言。
近日,监测到官方修复Apache PyFory反序列化策略绕过漏洞(CVE-2026-48207),该漏洞源于ReduceSerializer组件在Python-native模式下(strict=False)处理反序列化数据时,未能正确调用 DeserializationPolicy的验证钩子。在reduce状态恢复和全局名称解析过程中,ReduceSerializer绕过了用户自定义的DeserializationPolicy中对不安全类、函数或模块属性的限制检查。攻击者可利用该漏洞,通过构造特制的恶意序列化数据流绕过安全策略限制,加载被禁止的危险类、函数或模块属性,从而实现远程代码执行、数据窃取或系统接管。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
0.13.0 <= Apache PyFory < 1.0.0
三、修复建议
官方已发布安全补丁,请及时更新至安全版本:
Apache PyFory >= 1.0.0
