つみかさね

CVE-2026-50076

Critical(9.1)

CVE-2026-50076 — Apache Fury Java デシリアライズ RCE

公開日: 2026-06-09データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Apache Fury fory-core Java SDKApache Software Foundation< 1.1.0

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1使用中の fory-core バージョンを確認する
  2. 21.1.0 未満の場合は 1.1.0 以降へアップデートする
  3. 3外部から Fury シリアライズデータを受け付けるエンドポイントを特定し優先対応する

影響対象

Apache Fury Java SDK (fory-core) 1.1.0 未満の利用者

補足

  • -外部ネットワークに公開されているサービスでの使用は特にリスクが高くなります
CVEApacheFuryデシリアライゼーションJavaRCE

概要

Apache Fury(旧称: Fory)の Java SDK fory-core における、デシリアライズ処理の脆弱性です。Java の replace-resolve パスにおいて、クラス登録チェック・TypeChecker・DisallowedList による防御機構を回避し、クラスパス上に存在する readResolve / readExternal フックを呼び出すことができます。

細工されたシリアライズデータをリモートから受け付けるサービスでこの脆弱性を悪用されると、任意のコードがサーバ上で実行される可能性があります。

CVSS ベクトル

項目
Attack VectorNetwork
Attack ComplexityLow
Privileges RequiredNone
User InteractionNone
ScopeUnchanged
ConfidentialityHigh
IntegrityHigh
AvailabilityHigh
CVSS 3.1 スコア9.1 (Critical)

影響を受けるソフトウェア

製品ベンダー対象バージョン
Apache Fury fory-core (Java SDK)Apache Software Foundation1.1.0 未満

修正バージョンと回避策

修正バージョン: fory-core 1.1.0 以降

対策手順:

  1. 使用中の fory-core バージョンを確認する
  2. 1.1.0 未満の場合は 1.1.0 以降へアップデートする
  3. 外部からの Fury シリアライズデータを受け付けるエンドポイントがある場合は、特に優先度を高くして対応する

関連リンク

データソース: NVD (NIST)
AI 解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-50076
Apache Fury:https://fory.apache.org/security
OSS Security:http://www.openwall.com/lists/oss-security/2026/06/04/4
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。