赶紧点击上方话题进行订阅吧!报告编号:B6-2021-063002 报告来源:360CERT 报告作者:360CERT 更新日期:2021-06-30
1
漏洞简述
2021年06月30日,360CERT监测发现portswigger发布了ForgeRock AM远程代码执行漏洞的漏洞分析报告,漏洞编号为CVE-2021-35464,漏洞等级:严重,漏洞评分:9.8。 ForgeRock AM是一个开源的访问管理、权限控制平台,在大学、社会组织中存在广泛的应用。未经身份验证的攻击者可以通过构造特殊的请求远程执行任意代码,并接管运行ForgeRock AM的服务器。由于 ForgeRock AM本身的权限管理功能,攻击者在控制 ForgeRock AM的服务器还可以直接访问其他敏感服务,进行进一步的攻击。 该漏洞不需要进行身份认证,无需任何用户交互,攻击成本低。同时因其为关键的边界身份认证服务,一旦遭到攻击,将导致非常严重的后果,利用价值极高。 对此,360CERT建议广大用户及时将ForgeRock AM升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
2
风险等级
360CERT对该漏洞的评定结果如下 | 评定方式 | 等级 | | 威胁等级 | 严重 | | 影响面 | 广泛 | | 攻击者价值 | 极高 | | 利用难度 | 低 | | 360CERT评分 | 9.8 |
3
漏洞详情
CVE-2021-35464: ForgeRock AM代码执行漏洞CVE: CVE-2021-35464 组件: ForgeRock AM 漏洞类型: 代码执行 影响: 服务器接管 简述: ForgeRock AM中使用了Jato框架,该框架因历史原因已于2005年停止维护。在该框架中当处理GET请求参数jato.pageSession时会直接将其值进行反序列化。攻击者可以通过构造jato.pageSession值为恶意的序列化数据触发反序列化流程,最终导致远程代码执行。
| 
匿名
发表于 2021-6-30 12:03:33
