近日,360漏洞研究院监测到 Apache PyFory 组件中存在一个高危反序列化漏洞,编号 CVE-2026-48207,CVSS 评分高达 9.8。该漏洞可导致攻击者构造恶意序列化数据,完全绕过 DeserializationPolicy 安全策略,在目标服务器上执行任意代码。
利用前置条件:
-
目标应用使用 PyFory Python-native 模式
-
目标应用设置 strict=False(禁用严格模式)
-
目标应用依赖 DeserializationPolicy 限制不安全类/函数/模块属性
-
目标应用反序列化攻击者可控的不可信数据
目前 360漏洞挖掘智能体已成功复现该漏洞。本文包含完整影响范围、修复方案、技术原理与复现细节,建议用户立即升级。
01
漏洞影响范围
受影响的软件版本:
0.13.0 ≤ Apache pyfory < 1.0.0
02
修复建议
正式防护方案
受影响用户请立即升级至以下安全版本:
Apache pyfory 1.0.0 及更高版本
03
漏洞描述
近日 Apache Fory 官方发布安全公告,披露了 PyFory 中存在的反序列化策略绕过漏洞 CVE-2026-48207。该漏洞允许攻击者通过构造恶意的序列化数据,在 PyFory Python-native 模式下绕过 DeserializationPolicy 验证机制,从而执行任意代码。
经分析,漏洞根源在于 PyFory 的 ReduceSerializer 在 reduce 状态恢复和全局名称解析过程中,未能正确调用 DeserializationPolicy 验证钩子。当应用使用 Python-native 模式且设置 strict=False 时,ReduceSerializer 可以直接绕过文档中声明的 DeserializationPolicy 验证,加载不安全的类、函数或模块属性。攻击者利用此缺陷,可在目标服务器上执行任意代码。
04
漏洞复现
360漏洞研究院已复现 Apache PyFory 反序列化策略绕过漏洞(CVE-2026-48207),通过构造特定的序列化数据,可绕过 DeserializationPolicy 验证机制执行任意代码。
CVE-2026-48207
Apache PyFory 反序列化策略绕过漏洞
05
时间线
2026年05月28日,360漏洞研究院发布本安全风险通告。
06
参考链接
https://fory.apache.org/security/#cve-2026-48207-pyfory-reduceserializer-deserializationpolicy-bypass
https://www.cve.org/CVERecord?id=CVE-2026-48207
https://nvd.nist.gov/vuln/detail/CVE-2026-48207
07
更多漏洞情报
建议您订阅360数字安全-漏洞情报服务,获取更多漏洞情报详情以及处置建议,让您的企业远离漏洞威胁。
网址:https://vi.loudongyun.360.net
“洞”悉网络威胁,守护数字安全
关于我们
360 漏洞研究院,隶属于360数字安全集团。其成员常年入选谷歌、微软、华为等厂商的安全精英排行榜, 并获得谷歌、微软、苹果史上最高漏洞奖励。研究院是中国首个荣膺Pwnie Awards“史诗级成就奖”,并获得多个Pwnie Awards提名的组织。累计发现并协助修复谷歌、苹果、微软、华为、高通等全球顶级厂商CVE漏洞3000多个,收获诸多官方公开致谢。研究院也屡次受邀在BlackHat,Usenix Security,Defcon等极具影响力的工业安全峰会和顶级学术会议上分享研究成果,并多次斩获信创挑战赛、天府杯等顶级黑客大赛总冠军和单项冠军。研究院将凭借其在漏洞挖掘和安全攻防方面的强大技术实力,帮助各大企业厂商不断完善系统安全,为数字安全保驾护航,筑造数字时代的安全堡垒。
评论(0)