CVE-2026-48207: luka deserializacji w Apache Fory PyFory

Krytyczna luka w Apache Fory PyFory umożliwia obejście walidacji deserializacji. Zalecana aktualizacja do wersji 1.0.0 lub wyższej.
CVE-2026-48207CVSS 9.8Web

CVE-2026-48207: luka deserializacji w Apache Fory PyFory

Krytyczna luka w Apache Fory PyFory umożliwia obejście walidacji deserializacji. Zalecana aktualizacja do wersji 1.0.0 lub wyższej.

CVSS
9.8 CRITICAL
EPSS
43.2%
Aktywnie wykorzystywana
brak w KEV
Produkt
fory

Co wiadomo

W Apache Fory PyFory wykryto krytyczną lukę w mechanizmie deserializacji niezweryfikowanych danych, która pozwala ominąć politykę walidacji podczas przywracania stanu reduce i rozwiązywania nazw globalnych. Luka dotyczy wersji przed 1.0.0 i umożliwia atakującemu wykonanie nieautoryzowanych operacji, jeśli aplikacja używa trybu Python-native z wyłączonym trybem ścisłym.

Wpływ biznesowy

Luka o wysokim poziomie ryzyka (CVSS 9.8) może prowadzić do wykonania złośliwego kodu lub naruszenia integralności aplikacji korzystających z Apache Fory PyFory. Operatorzy IT powinni traktować tę podatność priorytetowo, gdyż może ona zagrozić stabilności i bezpieczeństwu środowisk produkcyjnych, zwłaszcza jeśli aplikacje deserializują dane kontrolowane przez atakującego.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie Apache Fory do wersji 1.0.0 lub nowszej, która wprowadza wymuszenie walidacji polityki deserializacji dla podatnych ścieżek ReduceSerializer. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć ekspozycję na niezweryfikowane dane, przeprowadzić przegląd logów pod kątem podejrzanych aktywności oraz wprowadzić dodatkowe mechanizmy kontroli dostępu.

Źródła