CVE-2026-48207 in Fory
要約
〜によって VulDB • 2026年05月21日
Apache Fory PyForyにおける信頼できないデータの逆シリアライズ。PyForyのReduceSerializerは、reduce-stateの復元およびグローバル名解決の際に、文書化されたDeserializationPolicyの検証フックをバイパスする可能性があります。アプリケーションは、PyForyのPythonネイティブモードで厳格モードが無効化された状態で攻撃者が制御するデータを逆シリアライズし、DeserializationPolicyを使用して安全でないクラス、関数、またはモジュール属性の制限を依存している場合、脆弱性に影響を受けます。
この問題はApache Foryに影響を与えます:1.0.0より前のバージョンすべて。
緩和策:Apache Foryのユーザーは、影響を受けたReduceSerializerパスに対してDeserializationPolicyの検証を強制し、この問題を修正するバージョン1.0.0以降へのアップグレードを推奨します。
If you want to get best quality of vulnerability data, you may have to visit VulDB.