立即升级！Apache PyFory 反序列化策略绕过漏洞风险通告

2026-06-02 14:52:04
我要分享


微信扫码分享

近日，360漏洞研究院监测到 Apache PyFory 组件中存在一个高危反序列化漏洞，编号 CVE-2026-48207，CVSS 评分高达 9.8。该漏洞可导致攻击者构造恶意序列化数据，完全绕过 DeserializationPolicy 安全策略，在目标服务器上执行任意代码。

利用前置条件：

目标应用使用 PyFory Python-native 模式
目标应用设置 strict=False（禁用严格模式）
目标应用依赖 DeserializationPolicy 限制不安全类/函数/模块属性
目标应用反序列化攻击者可控的不可信数据

目前 360漏洞挖掘智能体已成功复现该漏洞。本文包含完整影响范围、修复方案、技术原理与复现细节，建议用户立即升级。

漏洞影响范围

受影响的软件版本：

0.13.0 ≤ Apache pyfory < 1.0.0

修复建议

正式防护方案

受影响用户请立即升级至以下安全版本：

Apache pyfory 1.0.0 及更高版本

漏洞描述

近日 Apache Fory 官方发布安全公告，披露了 PyFory 中存在的反序列化策略绕过漏洞 CVE-2026-48207。该漏洞允许攻击者通过构造恶意的序列化数据，在 PyFory Python-native 模式下绕过 DeserializationPolicy 验证机制，从而执行任意代码。

经分析，漏洞根源在于 PyFory 的 ReduceSerializer 在 reduce 状态恢复和全局名称解析过程中，未能正确调用 DeserializationPolicy 验证钩子。当应用使用 Python-native 模式且设置 strict=False 时，ReduceSerializer 可以直接绕过文档中声明的 DeserializationPolicy 验证，加载不安全的类、函数或模块属性。攻击者利用此缺陷，可在目标服务器上执行任意代码。

漏洞复现

360漏洞研究院已复现 Apache PyFory 反序列化策略绕过漏洞（CVE-2026-48207），通过构造特定的序列化数据，可绕过 DeserializationPolicy 验证机制执行任意代码。

CVE-2026-48207

Apache PyFory 反序列化策略绕过漏洞

时间线

2026年05月28日，360漏洞研究院发布本安全风险通告。

参考链接

https://fory.apache.org/security/#cve-2026-48207-pyfory-reduceserializer-deserializationpolicy-bypass

https://www.cve.org/CVERecord?id=CVE-2026-48207

https://nvd.nist.gov/vuln/detail/CVE-2026-48207

更多漏洞情报

建议您订阅360数字安全-漏洞情报服务，获取更多漏洞情报详情以及处置建议，让您的企业远离漏洞威胁。

邮箱：360VRI@360.cn

网址：https://vi.loudongyun.360.net

“洞”悉网络威胁，守护数字安全

关于我们

360 漏洞研究院，隶属于360数字安全集团。其成员常年入选谷歌、微软、华为等厂商的安全精英排行榜, 并获得谷歌、微软、苹果史上最高漏洞奖励。研究院是中国首个荣膺Pwnie Awards“史诗级成就奖”，并获得多个Pwnie Awards提名的组织。累计发现并协助修复谷歌、苹果、微软、华为、高通等全球顶级厂商CVE漏洞3000多个，收获诸多官方公开致谢。研究院也屡次受邀在BlackHat，Usenix Security，Defcon等极具影响力的工业安全峰会和顶级学术会议上分享研究成果，并多次斩获信创挑战赛、天府杯等顶级黑客大赛总冠军和单项冠军。研究院将凭借其在漏洞挖掘和安全攻防方面的强大技术实力，帮助各大企业厂商不断完善系统安全，为数字安全保驾护航，筑造数字时代的安全堡垒。

热点排行

立即升级！Apache PyFory 反序列化策略绕过漏洞风险通告

热点排行

关注我们