Apache - CVE-2026-48207
Date de publication :
Il s'agit d'une vulnérabilité dans le composant ReduceSerializer de PyFory, le module Python d'Apache Fory.
Apache Fory est un framework de sérialisation haute performance multi-langages, compatible Java, Python, Go, Rust et C++. PyFory en est le module Python. Il est conçu pour remplacer des formats comme Protobuf ou Avro dans des contextes de traitement de données distribué et de communication entre microservices nécessitant des débits de sérialisation élevés.
Lors de la désérialisation en mode natif Python avec le mode strict désactivé, les hooks de validation fournis par la DeserializationPolicy ne sont pas appliqués sur les chemins de restauration d'état reduce et de résolution des noms globaux. Un attaquant peut fournir des données sérialisées forgées contenant des références à des classes, fonctions ou attributs de modules normalement interdits. Ces références sont résolues sans contrôle, le hook étant contourné sur ces chemins spécifiques. L'application doit désérialiser des données contrôlées par un attaquant et reposer sur DeserializationPolicy comme mécanisme de restriction pour être vulnérable.
Elle permet à un attaquant distant de contourner les restrictions de désérialisation et d'exécuter du code arbitraire dans le contexte du processus applicatif.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Oui
Exécution de code arbitraire (à distance)
Exploitation
CWE-502 : Deserialization of Untrusted Data
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.