Anonymous 发表于 2021-6-30 12:03:33

CVE-2021-35464: ForgeRock AM远程代码执行漏洞通告

                                                                                                   

赶紧点击上方话题进行订阅吧!报告编号:B6-2021-063002报告来源:360CERT报告作者:360CERT更新日期:2021-06-30
1
漏洞简述


2021年06月30日,360CERT监测发现portswigger发布了ForgeRock AM远程代码执行漏洞的漏洞分析报告,漏洞编号为CVE-2021-35464,漏洞等级:严重,漏洞评分:9.8。ForgeRock AM是一个开源的访问管理、权限控制平台,在大学、社会组织中存在广泛的应用。未经身份验证的攻击者可以通过构造特殊的请求远程执行任意代码,并接管运行ForgeRock AM的服务器。由于 ForgeRock AM本身的权限管理功能,攻击者在控制 ForgeRock AM的服务器还可以直接访问其他敏感服务,进行进一步的攻击。该漏洞不需要进行身份认证,无需任何用户交互,攻击成本低。同时因其为关键的边界身份认证服务,一旦遭到攻击,将导致非常严重的后果,利用价值极高。对此,360CERT建议广大用户及时将ForgeRock AM升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
2
风险等级


360CERT对该漏洞的评定结果如下
评定方式等级
威胁等级严重
影响面广泛
攻击者价值极高
利用难度低
360CERT评分9.8

3
漏洞详情


CVE-2021-35464: ForgeRock AM代码执行漏洞CVE: CVE-2021-35464组件: ForgeRock AM漏洞类型: 代码执行影响: 服务器接管简述: ForgeRock AM中使用了Jato框架,该框架因历史原因已于2005年停止维护。在该框架中当处理GET请求参数jato.pageSession时会直接将其值进行反序列化。攻击者可以通过构造jato.pageSession值为恶意的序列化数据触发反序列化流程,最终导致远程代码执行。

页: [1]
查看完整版本: CVE-2021-35464: ForgeRock AM远程代码执行漏洞通告