北京赛克艾威科技有限公司 2026-05-21
Apache Fory 是一款高性能的跨语言序列化框架,支持 Java、Python、Go、JavaScript 等多种编程语言。它旨在提供比现有序列化方案(如 Protocol Buffers、Kryo 等)更高的性能和更灵活的对象支持,特别适用于大规模分布式系统、RPC 调用、缓存和数据持久化场景。PyFory 是其 Python 语言实现版本,能够高效地将 Python 对象序列化为二进制格式,并在不同语言间实现兼容传输。 该漏洞源于 ReduceSerializer 组件在 Python\-native 模式下(strict\=False)处理反序列化数据时,未能正确调用 DeserializationPolicy 的验证钩子。在 reduce 状态恢复和全局名称解析过程中,ReduceSerializer 绕过了用户自定义的 DeserializationPolicy 中对不安全类、函数或模块属性的限制检查。攻击者可利用该漏洞,通过构造特制的恶意序列化数据流绕过安全策略限制,加载被禁止的危险类、函数或模块属性,从而实现远程代码执行、数据窃取或系统接管。
暂无