一、漏洞详情

Apache Fory是一款高性能的跨语言序列化框架，支持Java、Python、Go、JavaScript等多种编程语言。

近日，监测到官方修复Apache PyFory反序列化策略绕过漏洞(CVE-2026-48207)，该漏洞源于ReduceSerializer组件在Python-native模式下（strict=False）处理反序列化数据时，未能正确调用 DeserializationPolicy的验证钩子。在reduce状态恢复和全局名称解析过程中，ReduceSerializer绕过了用户自定义的DeserializationPolicy中对不安全类、函数或模块属性的限制检查。攻击者可利用该漏洞，通过构造特制的恶意序列化数据流绕过安全策略限制，加载被禁止的危险类、函数或模块属性，从而实现远程代码执行、数据窃取或系统接管。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

0.13.0 <= Apache PyFory < 1.0.0

三、修复建议

官方已发布安全补丁，请及时更新至安全版本：

Apache PyFory >= 1.0.0