请选择 进入手机版 | 继续访问电脑版
查看: 2936|回复: 0

CVE-2021-35464: ForgeRock AM远程代码执行漏洞通告

[复制链接]
匿名
匿名  发表于 2021-6-30 12:03:33 |阅读模式
                                                                                                   

赶紧点击上方话题进行订阅吧!
报告编号:B6-2021-063002
报告来源:360CERT
报告作者:360CERT
更新日期:2021-06-30

1
漏洞简述


2021年06月30日,360CERT监测发现portswigger发布了ForgeRock AM远程代码执行漏洞的漏洞分析报告,漏洞编号为CVE-2021-35464,漏洞等级:严重,漏洞评分:9.8。
ForgeRock AM是一个开源的访问管理、权限控制平台,在大学、社会组织中存在广泛的应用。未经身份验证的攻击者可以通过构造特殊的请求远程执行任意代码,并接管运行ForgeRock AM的服务器。由于 ForgeRock AM本身的权限管理功能,攻击者在控制 ForgeRock AM的服务器还可以直接访问其他敏感服务,进行进一步的攻击。
该漏洞不需要进行身份认证,无需任何用户交互,攻击成本低。同时因其为关键的边界身份认证服务,一旦遭到攻击,将导致非常严重的后果,利用价值极高。
对此,360CERT建议广大用户及时将ForgeRock AM升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

2
风险等级


360CERT对该漏洞的评定结果如下
评定方式等级
威胁等级严重
影响面广泛
攻击者价值极高
利用难度
360CERT评分9.8

3
漏洞详情


CVE-2021-35464: ForgeRock AM代码执行漏洞
CVE: CVE-2021-35464
组件: ForgeRock AM
漏洞类型: 代码执行
影响: 服务器接管
简述: ForgeRock AM中使用了Jato框架,该框架因历史原因已于2005年停止维护。在该框架中当处理GET请求参数jato.pageSession时会直接将其值进行反序列化。攻击者可以通过构造jato.pageSession值为恶意的序列化数据触发反序列化流程,最终导致远程代码执行。


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表