1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. Apache Fory(pyfory/pyfury)にクリティカルな脆弱性(CVE-2025-61622)

Apache Fory(pyfory/pyfury)にクリティカルな脆弱性(CVE-2025-61622)

セキュリティニュース

投稿日時: 更新日時:

Apache Fory(pyfory/pyfury)にクリティカルな脆弱性(CVE-2025-61622)

2025年9月、Apache製の高速シリアライゼーション基盤「Fory」のPython実装(pyfory/pyfury)に、任意コード実行(RCE)につながる脆弱性 CVE-2025-61622 が見つかり修正されました。

影響範囲

  • 対象製品:Apache Fory(pyfory/pyfury)

  • 影響バージョン0.5.0〜0.12.2

  • 深刻度Critical

  • 成立条件:アプリケーションが信頼できない入力源からpyfory形式のデータを受け取り、デシリアライズしていること

なお、Apache Fory チームは、即時アップデートを促しています。

技術的背景

pyforyは通常のバイナリフォーマットで復元を試み、条件によりpickleフォールバックへ退避します。このときガード(制限)が存在せず、攻撃者はフォールバック選択を強制するデータを作成してライブラリに食わせることで、pickle.loads を介して任意オブジェクトを実行させることが可能でした。

pickleは本来、信頼できる環境でのみ使用すべき危険なデシリアライザであり、未信頼データに対して使うとRCEの温床になります。

想定される被害シナリオ

  • メッセージング/ストリーム処理:外部キュー(Kafka、RabbitMQ など)から取り込むレコードがpyfory形式の場合、攻撃者の悪性メッセージでアプリ実行環境の権限でコード実行

  • RPC/キャッシュ/共有ストレージ:外部入力が混じるRPC応答や、オブジェクトキャッシュを経由した横展開

  • サプライチェーン:外部連携モジュールがpyforyを内部で利用しており、境界の想定違いから未信頼入力が紛れ込むケース。

関連記事

Apache Tomcatに深刻な脆弱性、DoS攻撃やセキュリティルール回避のリスク- 迅速なアップデートを推奨(CVE-2025-31650)Apache Tomcatに深刻な脆弱性、DoS攻撃やセキュリティルール回避のリスク- 迅速なアップデートを推奨(CVE-2025-31650) Apache Tomcatでリモートコード実行や情報 漏洩のリスクがある脆弱性(CVE-2025-24813)Apache Tomcatでリモートコード実行や情報 漏洩のリスクがある脆弱性(CVE-2025-24813) Apache Tomcatの脆弱性 CVE-2025-24813の悪用を確認、対象者は早急にアップデートをApache Tomcatの脆弱性 CVE-2025-24813の悪用を確認、対象者は早急にアップデートを Apache Parquet Java0の脆弱性(CVE-2025-30065)の検証・検出ツールをF5 Labsが公開Apache Parquet Javaの脆弱性(CVE-2025-30065)の検証・検出ツールをF5 Labsが公開 Hugging FaceでAIのバックドア 付き 機械学習モデルを確認 Laravel Livewireに深刻な脆弱性、数百万のWebアプリがリスクに晒される(CVE-2025-54068)Laravel Livewireに深刻な脆弱性、数百万のWebアプリがリスクに晒される(CVE-2025-54068) Apache Tomcat と Camel が狙わる-複数の危険な脆弱性(CVE‑2025‑24813, CVE‑2025‑27636, CVE‑2025‑29891)Apache Tomcat と Camel が狙わる-複数の危険な脆弱性(CVE‑2025‑24813, CVE‑2025‑27636, CVE‑2025‑29891) Apache Igniteでリモートコードが実行できる脆弱性(CVE-2024-52577)Apache Igniteでリモートコードが実行できる脆弱性(CVE-2024-52577) CISAがApache Tomcatの脆弱性 CVE-2025-24813をKEVに登録、対象者はアップデートが必須CISAがApache Tomcatの脆弱性 CVE-2025-24813をKEVに登録、対象者はアップデートが必須