CVE-2026-50076
KrytyczneCVSS 9.1Streszczenie
W Apache Fory (foray-core Java SDK przed wersją 1.1.0) występuje podatność na deserializację niezaufanych danych, co pozwala zdalnemu atakującemu na obejście kontroli rejestracji klas oraz wywołanie niebezpiecznych metod.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do wykonania nieautoryzowanych operacji na danych, co może prowadzić do poważnych naruszeń bezpieczeństwa w systemie.
Rekomendacja
Zaleca się aktualizację do wersji 1.1.0 lub nowszej, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
Deserialization of Untrusted Data in the Java replace-resolve path in Apache Fory fory-core Java SDK before 1.1.0 on Java/JVM platforms allows a remote attacker to bypass class registration, TypeChecker, and DisallowedList checks and invoke classpath-present readResolve/readExternal hooks via crafted Fory serialized data. Users are recommended to upgrade to version 1.1.0 or later, which fixes this issue.

