CVE-2026-48207: luka deserializacji w Apache Fory PyFory
Krytyczna luka w Apache Fory PyFory umożliwia obejście walidacji deserializacji. Zalecana aktualizacja do wersji 1.0.0 lub wyższej.
- CVSS
- 9.8 CRITICAL
- EPSS
- 43.2%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- fory
Co wiadomo
W Apache Fory PyFory wykryto krytyczną lukę w mechanizmie deserializacji niezweryfikowanych danych, która pozwala ominąć politykę walidacji podczas przywracania stanu reduce i rozwiązywania nazw globalnych. Luka dotyczy wersji przed 1.0.0 i umożliwia atakującemu wykonanie nieautoryzowanych operacji, jeśli aplikacja używa trybu Python-native z wyłączonym trybem ścisłym.
Wpływ biznesowy
Luka o wysokim poziomie ryzyka (CVSS 9.8) może prowadzić do wykonania złośliwego kodu lub naruszenia integralności aplikacji korzystających z Apache Fory PyFory. Operatorzy IT powinni traktować tę podatność priorytetowo, gdyż może ona zagrozić stabilności i bezpieczeństwu środowisk produkcyjnych, zwłaszcza jeśli aplikacje deserializują dane kontrolowane przez atakującego.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie Apache Fory do wersji 1.0.0 lub nowszej, która wprowadza wymuszenie walidacji polityki deserializacji dla podatnych ścieżek ReduceSerializer. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć ekspozycję na niezweryfikowane dane, przeprowadzić przegląd logów pod kątem podejrzanych aktywności oraz wprowadzić dodatkowe mechanizmy kontroli dostępu.