01 漏洞详情

影响组件

Apache Fory 是一款高性能的跨语言序列化框架，支持 Java、Python、Go、JavaScript 等多种编程语言。它旨在提供比现有序列化方案（如 Protocol Buffers、Kryo 等）更高的性能和更灵活的对象支持，特别适用于大规模分布式系统、RPC 调用、缓存和数据持久化场景。PyFory 是其 Python 语言实现版本，能够高效地将 Python 对象序列化为二进制格式，并在不同语言间实现兼容传输。

漏洞描述

近日，奇安信CERT监测到官方修复Apache PyFory 反序列化策略绕过漏洞(CVE-2026-48207)，该漏洞源于 ReduceSerializer 组件在 Python-native 模式下（strict=False）处理反序列化数据时，未能正确调用 DeserializationPolicy 的验证钩子。在 reduce 状态恢复和全局名称解析过程中，ReduceSerializer 绕过了用户自定义的 DeserializationPolicy 中对不安全类、函数或模块属性的限制检查。攻击者可利用该漏洞，通过构造特制的恶意序列化数据流绕过安全策略限制，加载被禁止的危险类、函数或模块属性，从而实现远程代码执行、数据窃取或系统接管。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

利用条件

1.启用 Python-native 原生反序列化模式；

2.配置 strict=False 关闭严格校验；

3.依赖自定义 DeserializationPolicy 限制不安全类、函数或模块属性加载；

4.应用反序列化攻击者可控的未信任数据。

02 影响范围

影响版本

0.13.0 <= Apache PyFory < 1.0.0

其他受影响组件

无

03 复现情况

目前，奇安信威胁情报中心安全研究员已成功复现Apache PyFory 反序列化策略绕过漏洞(CVE-2026-48207)，截图如下：

04 处置建议

安全更新

官方已发布安全补丁，请及时更新至最新版本：

Apache PyFory >= 1.0.0

下载地址：

https://fory.apache.org/download

修复缓解措施：

在无法立即升级的情况下，临时启用 strict=True 模式（若业务允许）或避免反序列化任何不可信数据。

05 参考资料

[1]http://www.openwall.com/lists/oss-security/2026/05/21/10

[2]https://fory.apache.org/security/#cve-2026-48207-pyfory-reduceserializer-deserializationpolicy-bypass