一、 漏洞 CVE-2025-61622 基础信息
漏洞信息
                                        # Apache Fory 远程代码执行漏洞

## 概述

pyfory 在特定版本中存在反序列化不受信任数据的漏洞,可能导致远程代码执行(RCE)。该漏洞源于使用了不安全的 `pickle.loads` 进行反序列化操作。

## 影响版本

- **pyfory**: 0.12.0 到 0.12.2  
- **legacy pyfury**: 0.1.0 到 0.10.3

## 细节

攻击者可通过构造恶意数据流,在反序列化过程中强制选择 **pickle 回退序列化器**,从而触发 `pickle.loads` 执行,进行任意代码执行。只要应用从不受信任的来源读取了 pyfory 序列化的数据,则可能受到影响。

## 影响

成功攻击者可以在目标系统上执行任意代码,可能导致 **远程代码执行(RCE)**,严重威胁系统安全。

## 修复建议

升级到以下版本以修复漏洞:

- **pyfory**: ≥ 0.12.3  
- **legacy pyfury**: 不再使用 pickle 回退序列化器
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Apache Fory, Apache Fory: Python RCE via unguarded pickle fallback serializer in pyfory
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Deserialization of untrusted data in python in pyfory versions 0.12.0 through 0.12.2, or the legacy pyfury versions from 0.1.0 through 0.10.3: allows arbitrary code execution. An application is vulnerable if it reads pyfory serialized data from untrusted sources. An attacker can craft a data stream that selects pickle-fallback serializer during deserialization, leading to the execution of `pickle.loads`, which is vulnerable to remote code execution. Users are recommended to upgrade to pyfory version 0.12.3 or later, which has removed pickle fallback serializer and thus fixes this issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
可信数据的反序列化
来源:美国国家漏洞数据库 NVD
漏洞标题
Apache Fory 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Apache Fory是Apache基金会的一个序列化框架。 Apache Fory存在安全漏洞,该漏洞源于反序列化不可信数据时使用pickle回退序列化器,可能导致任意代码执行。以下版本受到影响:pyfory 0.12.0版本至0.12.2版本和pyfury 0.1.0版本至0.10.3版本。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-61622 的公开POC
# POC 描述 源链接 神龙链接
1 This PoC demonstrates the Remote Code Execution (RCE) vulnerability in Apache Pyfory (versions 0.12.0-0.12.2 and legacy PyFury 0.1.0-0.10.3) due to insecure pickle fallback deserialization (CVE-2025-61622). https://github.com/fa1consec/cve_2025_61622_poc POC详情
三、漏洞 CVE-2025-61622 的情报信息
四、漏洞 CVE-2025-61622 的评论

暂无评论

发表评论