漏洞概述 Apache Fury 存在多个安全漏洞,主要涉及反序列化检查绕过和拒绝服务(DoS)问题。 影响范围 1. CVE-2026-50076: Apache Fury: Java ReplaceResolverSerializerizer 反序列化检查绕过 - 严重程度: 重要 - 受影响版本: Apache Fury (org.apache.fury:fury-core) 1.1.0 之前版本 - 描述: 在 Java/VM 平台上,Apache Fury fury-core Java SDK 1.1.0 之前版本允许远程攻击者通过精心构造的 Fury 序列化数据绕过类注册、TypeChecker 和 DisallowedList 检查,并调用 classpath 中存在的 readResolve/readExternal 钩子。 - 修复方案: 建议用户升级到 1.1.0 或更高版本,该版本修复了此问题。 2. CVE-2026-48207: PyFury ReduceSerializer DeserializationPolicy 绕过 - 严重程度: 重要 - 受影响版本: PyFury 0.13.0 至 0.17.0 - 描述: PyFury 0.13.0 至 0.17.0 版本中,反序列化未信任数据可以绕过文档化的 DeserializationPolicy 验证。当应用程序反序列化受控数据并依赖自定义 DeserializationPolicy 来限制不安全类、函数或模块属性时,存在漏洞。 - 修复方案: 建议升级到 PyFury 1.0.0 或更高版本,该版本一致地强制执行 DeserializationPolicy 验证。依赖 Apache Fury 的库和应用程序应更新其依赖要求并重新发布补丁版本。 3. CVE-2025-61822: Python RCE via unguarded pickle fallback serializer in PyFury - 严重程度: 重要 - 受影响版本: PyFury - 描述: 未明确说明,但涉及 Python RCE(远程代码执行)通过未保护的 pickle 回退序列化器。 4. CVE-2025-59328: Denial of Service (DoS) due to Deserialization of Untrusted malicious large Data - 严重程度: 重要 - 受影响版本: PyFury - 描述: 未明确说明,但涉及由于反序列化不受信任的大数据导致的拒绝服务(DoS)。 修复方案 Java 版本: 升级到 Apache Fury 1.1.0 或更高版本。 Python 版本: 升级到 PyFury 1.0.0 或更高版本。 POC 代码或利用代码 页面中未提供具体的 POC 代码或利用代码。