Apache - CVE-2026-50076
Date de publication :
Il s'agit d'une vulnérabilité de désérialisation de données non fiables dans le chemin de traitement ReplaceResolverSerializer du SDK Java d'Apache Fory (fory-core).
Apache Fory est un framework de sérialisation multi-langage hautes performances, compatible avec l'API de sérialisation JDK, utilisé pour les échanges de données entre applications Java/JVM et autres environnements.
Lors de la désérialisation, Fory invoque le sérialiseur ReplaceResolveSerializer pour les classes implémentant writeReplace/readResolve ou Externalizable. Ce chemin ne soumet pas les données entrantes aux contrôles de sécurité habituels : l'enregistrement des classes, le TypeChecker, et la DisallowedList sont contournés. Un attaquant peut forger des données Fory sérialisées qui invoquent directement les hooks readResolve ou readExternal sur des classes présentes dans le classpath de l'application cible.
Elle permet à un attaquant distant non authentifié d'exécuter du code arbitraire sur tout système qui désérialise des données Fory non fiables via le SDK Java, et de compromettre l'intégrité et la confidentialité du système hôte.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
• Exécution de code arbitraire (à distance)
• Atteinte à la confidentialité des données
• Atteinte à l'intégrité des données
Exploitation
CWE-502 : Deserialization of Untrusted Data
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
Apache Fory (org.apache.fory:fory-core) versions antérieures à 1.1.0 (plateformes Java/JVM)