“ช่องโหว่ RCE ร้ายแรงใน Apache Fory’s Python Module — เมื่อการ deserialize กลายเป็นประตูหลังให้แฮกเกอร์”
Apache Fory ซึ่งเป็นเฟรมเวิร์ก serialization แบบ multi-language ที่เน้นประสิทธิภาพสูง ได้เปิดเผยช่องโหว่ร้ายแรงในโมดูล Python ที่ชื่อว่า “pyfory” โดยช่องโหว่นี้ถูกระบุในรหัส CVE-2025-61622 และมีระดับความรุนแรง “Critical” ด้วยคะแนน CVSS สูงสุดถึง 9.8
ช่องโหว่นี้เกิดจากการใช้ fallback serializer ที่เรียกว่า “pickle” ซึ่งเป็นกลไกใน Python สำหรับการแปลงข้อมูลให้สามารถจัดเก็บและส่งต่อได้ แต่หากนำไปใช้กับข้อมูลที่ไม่ได้รับการตรวจสอบหรือมาจากแหล่งที่ไม่เชื่อถือ ก็สามารถเปิดช่องให้แฮกเกอร์ส่งข้อมูลที่ถูกออกแบบมาเพื่อเรียกใช้ pickle.loads() ซึ่งจะนำไปสู่การรันโค้ดอันตรายจากระยะไกล (Remote Code Execution)
ช่องโหว่นี้ส่งผลกระทบต่อ pyfory ตั้งแต่เวอร์ชัน 0.5.0 ถึง 0.12.2 โดยเฉพาะในแอปพลิเคชันที่ deserialize ข้อมูลจากแหล่งภายนอกโดยไม่กรองหรือป้องกันอย่างเหมาะสม
ทีม Apache Fory ได้ออกแพตช์ในเวอร์ชัน 0.12.3 ซึ่งได้ลบ fallback pickle serializer ออกไปโดยสิ้นเชิง เพื่อปิดช่องทางการโจมตีนี้ และแนะนำให้ผู้ใช้อัปเดตทันทีโดยไม่มีวิธีแก้ไขชั่วคราว (workaround)
ข้อมูลสำคัญจากข่าว
ช่องโหว่ CVE-2025-61622 เป็น Remote Code Execution (RCE) ในโมดูล pyfory ของ Apache Fory
เกิดจากการใช้ fallback serializer แบบ pickle โดยไม่มีการป้องกัน
ผู้โจมตีสามารถส่งข้อมูลที่บังคับให้ระบบใช้ pickle.loads() ซึ่งเปิดทางให้รันโค้ดอันตราย
ส่งผลกระทบต่อเวอร์ชัน 0.5.0 ถึง 0.12.2 ของ pyfory
แอปพลิเคชันที่ deserialize ข้อมูลจากแหล่งภายนอกโดยไม่กรองจะเสี่ยงสูง
Apache Fory ได้ออกแพตช์ในเวอร์ชัน 0.12.3 โดยลบ pickle fallback ออกไป
ไม่มี workaround ชั่วคราว ต้องอัปเดตแพตช์ทันที
ข้อมูลเสริมจากภายนอก
pickle ใน Python เป็นเครื่องมือ serialization ที่ทรงพลังแต่มีความเสี่ยงสูง
การใช้ pickle กับข้อมูลที่ไม่ได้รับการตรวจสอบถือเป็นแนวทางที่ไม่ปลอดภัย
ช่องโหว่ลักษณะนี้เคยถูกใช้ในมัลแวร์และการโจมตีแบบ supply chain
Apache Fory เป็นเฟรมเวิร์กที่ใช้ในระบบ distributed และ AI pipeline หลายแห่ง
การลบ fallback serializer เป็นแนวทางที่ปลอดภัยที่สุดในการป้องกัน RCE
https://securityonline.info/critical-rce-flaw-in-apache-forys-python-module-cve-2025-61622/
Apache Fory ซึ่งเป็นเฟรมเวิร์ก serialization แบบ multi-language ที่เน้นประสิทธิภาพสูง ได้เปิดเผยช่องโหว่ร้ายแรงในโมดูล Python ที่ชื่อว่า “pyfory” โดยช่องโหว่นี้ถูกระบุในรหัส CVE-2025-61622 และมีระดับความรุนแรง “Critical” ด้วยคะแนน CVSS สูงสุดถึง 9.8
ช่องโหว่นี้เกิดจากการใช้ fallback serializer ที่เรียกว่า “pickle” ซึ่งเป็นกลไกใน Python สำหรับการแปลงข้อมูลให้สามารถจัดเก็บและส่งต่อได้ แต่หากนำไปใช้กับข้อมูลที่ไม่ได้รับการตรวจสอบหรือมาจากแหล่งที่ไม่เชื่อถือ ก็สามารถเปิดช่องให้แฮกเกอร์ส่งข้อมูลที่ถูกออกแบบมาเพื่อเรียกใช้ pickle.loads() ซึ่งจะนำไปสู่การรันโค้ดอันตรายจากระยะไกล (Remote Code Execution)
ช่องโหว่นี้ส่งผลกระทบต่อ pyfory ตั้งแต่เวอร์ชัน 0.5.0 ถึง 0.12.2 โดยเฉพาะในแอปพลิเคชันที่ deserialize ข้อมูลจากแหล่งภายนอกโดยไม่กรองหรือป้องกันอย่างเหมาะสม
ทีม Apache Fory ได้ออกแพตช์ในเวอร์ชัน 0.12.3 ซึ่งได้ลบ fallback pickle serializer ออกไปโดยสิ้นเชิง เพื่อปิดช่องทางการโจมตีนี้ และแนะนำให้ผู้ใช้อัปเดตทันทีโดยไม่มีวิธีแก้ไขชั่วคราว (workaround)
ข้อมูลสำคัญจากข่าว
ช่องโหว่ CVE-2025-61622 เป็น Remote Code Execution (RCE) ในโมดูล pyfory ของ Apache Fory
เกิดจากการใช้ fallback serializer แบบ pickle โดยไม่มีการป้องกัน
ผู้โจมตีสามารถส่งข้อมูลที่บังคับให้ระบบใช้ pickle.loads() ซึ่งเปิดทางให้รันโค้ดอันตราย
ส่งผลกระทบต่อเวอร์ชัน 0.5.0 ถึง 0.12.2 ของ pyfory
แอปพลิเคชันที่ deserialize ข้อมูลจากแหล่งภายนอกโดยไม่กรองจะเสี่ยงสูง
Apache Fory ได้ออกแพตช์ในเวอร์ชัน 0.12.3 โดยลบ pickle fallback ออกไป
ไม่มี workaround ชั่วคราว ต้องอัปเดตแพตช์ทันที
ข้อมูลเสริมจากภายนอก
pickle ใน Python เป็นเครื่องมือ serialization ที่ทรงพลังแต่มีความเสี่ยงสูง
การใช้ pickle กับข้อมูลที่ไม่ได้รับการตรวจสอบถือเป็นแนวทางที่ไม่ปลอดภัย
ช่องโหว่ลักษณะนี้เคยถูกใช้ในมัลแวร์และการโจมตีแบบ supply chain
Apache Fory เป็นเฟรมเวิร์กที่ใช้ในระบบ distributed และ AI pipeline หลายแห่ง
การลบ fallback serializer เป็นแนวทางที่ปลอดภัยที่สุดในการป้องกัน RCE
https://securityonline.info/critical-rce-flaw-in-apache-forys-python-module-cve-2025-61622/
🐍 “ช่องโหว่ RCE ร้ายแรงใน Apache Fory’s Python Module — เมื่อการ deserialize กลายเป็นประตูหลังให้แฮกเกอร์”
Apache Fory ซึ่งเป็นเฟรมเวิร์ก serialization แบบ multi-language ที่เน้นประสิทธิภาพสูง ได้เปิดเผยช่องโหว่ร้ายแรงในโมดูล Python ที่ชื่อว่า “pyfory” โดยช่องโหว่นี้ถูกระบุในรหัส CVE-2025-61622 และมีระดับความรุนแรง “Critical” ด้วยคะแนน CVSS สูงสุดถึง 9.8
ช่องโหว่นี้เกิดจากการใช้ fallback serializer ที่เรียกว่า “pickle” ซึ่งเป็นกลไกใน Python สำหรับการแปลงข้อมูลให้สามารถจัดเก็บและส่งต่อได้ แต่หากนำไปใช้กับข้อมูลที่ไม่ได้รับการตรวจสอบหรือมาจากแหล่งที่ไม่เชื่อถือ ก็สามารถเปิดช่องให้แฮกเกอร์ส่งข้อมูลที่ถูกออกแบบมาเพื่อเรียกใช้ pickle.loads() ซึ่งจะนำไปสู่การรันโค้ดอันตรายจากระยะไกล (Remote Code Execution)
ช่องโหว่นี้ส่งผลกระทบต่อ pyfory ตั้งแต่เวอร์ชัน 0.5.0 ถึง 0.12.2 โดยเฉพาะในแอปพลิเคชันที่ deserialize ข้อมูลจากแหล่งภายนอกโดยไม่กรองหรือป้องกันอย่างเหมาะสม
ทีม Apache Fory ได้ออกแพตช์ในเวอร์ชัน 0.12.3 ซึ่งได้ลบ fallback pickle serializer ออกไปโดยสิ้นเชิง เพื่อปิดช่องทางการโจมตีนี้ และแนะนำให้ผู้ใช้อัปเดตทันทีโดยไม่มีวิธีแก้ไขชั่วคราว (workaround)
✅ ข้อมูลสำคัญจากข่าว
➡️ ช่องโหว่ CVE-2025-61622 เป็น Remote Code Execution (RCE) ในโมดูล pyfory ของ Apache Fory
➡️ เกิดจากการใช้ fallback serializer แบบ pickle โดยไม่มีการป้องกัน
➡️ ผู้โจมตีสามารถส่งข้อมูลที่บังคับให้ระบบใช้ pickle.loads() ซึ่งเปิดทางให้รันโค้ดอันตราย
➡️ ส่งผลกระทบต่อเวอร์ชัน 0.5.0 ถึง 0.12.2 ของ pyfory
➡️ แอปพลิเคชันที่ deserialize ข้อมูลจากแหล่งภายนอกโดยไม่กรองจะเสี่ยงสูง
➡️ Apache Fory ได้ออกแพตช์ในเวอร์ชัน 0.12.3 โดยลบ pickle fallback ออกไป
➡️ ไม่มี workaround ชั่วคราว ต้องอัปเดตแพตช์ทันที
✅ ข้อมูลเสริมจากภายนอก
➡️ pickle ใน Python เป็นเครื่องมือ serialization ที่ทรงพลังแต่มีความเสี่ยงสูง
➡️ การใช้ pickle กับข้อมูลที่ไม่ได้รับการตรวจสอบถือเป็นแนวทางที่ไม่ปลอดภัย
➡️ ช่องโหว่ลักษณะนี้เคยถูกใช้ในมัลแวร์และการโจมตีแบบ supply chain
➡️ Apache Fory เป็นเฟรมเวิร์กที่ใช้ในระบบ distributed และ AI pipeline หลายแห่ง
➡️ การลบ fallback serializer เป็นแนวทางที่ปลอดภัยที่สุดในการป้องกัน RCE
https://securityonline.info/critical-rce-flaw-in-apache-forys-python-module-cve-2025-61622/
0 Comments
0 Shares
92 Views
0 Reviews
Thai