CVE-2026-48207: Уразливість десеріалізації в Apache Fory PyFory

Критична уразливість десеріалізації в Apache Fory PyFory дозволяє обходити політику безпеки. Рекомендується оновлення до версії 1.0.0 або новішої.
CVE-2026-48207CVSS 9.8Web

CVE-2026-48207: Уразливість десеріалізації в Apache Fory PyFory

Критична уразливість десеріалізації в Apache Fory PyFory дозволяє обходити політику безпеки. Рекомендується оновлення до версії 1.0.0 або новішої.

CVSS
9.8 CRITICAL
EPSS
43.2%
Активно використовується
немає в KEV
Продукт
fory

Що відомо

В Apache Fory PyFory виявлено критичну уразливість десеріалізації, що дозволяє обійти перевірки політики десеріалізації під час відновлення стану. Програми, які десеріалізують дані, контрольовані зловмисником, з вимкненим строгим режимом, можуть бути скомпрометовані.

Бізнес-вплив

Ця уразливість може призвести до виконання небезпечного коду або обходу обмежень безпеки в додатках, що використовують Apache Fory PyFory у вразливих конфігураціях. Власники інфраструктури повинні розглянути ризики потенційних атак через десеріалізацію та можливі наслідки для цілісності та безпеки систем.

Рекомендовані дії адміністратора

Рекомендується оновити Apache Fory до версії 1.0.0 або новішої, де реалізовано жорстку перевірку політики десеріалізації для уразливих шляхів. Якщо оновлення неможливе, слід обмежити десеріалізацію даних лише з довірених джерел, увімкнути строгий режим та переглянути журнали на предмет підозрілої активності.

Джерела