大工网安告[2026017]

一、 情况分析

Apache Fory是一款高性能的跨语言序列化框架，支持Java、Python、Go、JavaScript 等多种编程语言。它旨在提供比现有序列化方案（如Protocol Buffers、Kryo等）更高的性能和更灵活的对象支持，特别适用于大规模分布式系统、RPC 调用、缓存和数据持久化场景。PyFory是其Python语言实现版本，能够高效地将Python对象序列化为二进制格式，并在不同语言间实现兼容传输。

近日，监测到官方修复Apache PyFory反序列化策略绕过漏洞(CVE-2026-48207)，该漏洞源于ReduceSerializer组件在Python-native模式下（strict=False）处理反序列化数据时，未能正确调用DeserializationPolicy的验证钩子。在reduce状态恢复和全局名称解析过程中，ReduceSerializer绕过了用户自定义的DeserializationPolicy中对不安全类、函数或模块属性的限制检查。攻击者可利用该漏洞，通过构造特制的恶意序列化数据流绕过安全策略限制，加载被禁止的危险类、函数或模块属性，从而实现远程代码执行、数据窃取或系统接管。

威胁类型：代码执行。

技术类型：反序列化错误。

危害描述：攻击者可利用该漏洞，通过构造特制的恶意序列化数据流绕过安全策略限制，加载被禁止的危险类、函数或模块属性，从而实现远程代码执行、数据窃取或系统接管。

二、 影响版本

0.13.0 <= Apache PyFory < 1.0.0

三、 处置建议

修复解决方案（含漏洞补丁）：

官方已发布安全补丁， 请及时更新至最新版本：

Apache PyFory >= 1.0.0

缓解措施：

在无法立即升级的情况下，临时启用strict=True模式（若业务允许）或避免反序列化任何不可信数据。