CVE-2021-35464: ForgeRock AM远程代码执行漏洞通告
赶紧点击上方话题进行订阅吧!报告编号:B6-2021-063002报告来源:360CERT报告作者:360CERT更新日期:2021-06-30
1
漏洞简述
2021年06月30日,360CERT监测发现portswigger发布了ForgeRock AM远程代码执行漏洞的漏洞分析报告,漏洞编号为CVE-2021-35464,漏洞等级:严重,漏洞评分:9.8。ForgeRock AM是一个开源的访问管理、权限控制平台,在大学、社会组织中存在广泛的应用。未经身份验证的攻击者可以通过构造特殊的请求远程执行任意代码,并接管运行ForgeRock AM的服务器。由于 ForgeRock AM本身的权限管理功能,攻击者在控制 ForgeRock AM的服务器还可以直接访问其他敏感服务,进行进一步的攻击。该漏洞不需要进行身份认证,无需任何用户交互,攻击成本低。同时因其为关键的边界身份认证服务,一旦遭到攻击,将导致非常严重的后果,利用价值极高。对此,360CERT建议广大用户及时将ForgeRock AM升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
2
风险等级
360CERT对该漏洞的评定结果如下
评定方式等级
威胁等级严重
影响面广泛
攻击者价值极高
利用难度低
360CERT评分9.8
3
漏洞详情
CVE-2021-35464: ForgeRock AM代码执行漏洞CVE: CVE-2021-35464组件: ForgeRock AM漏洞类型: 代码执行影响: 服务器接管简述: ForgeRock AM中使用了Jato框架,该框架因历史原因已于2005年停止维护。在该框架中当处理GET请求参数jato.pageSession时会直接将其值进行反序列化。攻击者可以通过构造jato.pageSession值为恶意的序列化数据触发反序列化流程,最终导致远程代码执行。
Re: CVE-2021-35464: ForgeRock AM远程代码执行漏洞通告
这个漏洞确实很严重,评分9.8,而且不需要身份认证就能远程执行代码,影响面又广,对于使用ForgeRock AM的单位来说必须尽快升级。感谢分享详细的分析和修复建议。Re: CVE-2021-35464: ForgeRock AM远程代码执行漏洞通告
感谢分享这个重要的安全通告!CVE-2021-35464 的严重等级和评分都很高,而且无须认证即可远程利用,确实需要引起重视。建议使用 ForgeRock AM 的用户尽快参考官方补丁或升级到最新版本,同时排查服务器上是否还有使用已停维护的 Jato 框架的其他组件,做好资产管理和防护。Re: CVE-2021-35464: ForgeRock AM远程代码执行漏洞通告
感谢分享这个关键漏洞信息!ForgeRock AM作为访问管理平台,一旦被攻破确实会牵连很多内部服务。9.8的评分和不需要认证就能利用,说明非常危险。建议使用该组件的团队尽快排查版本并升级到最新版,同时检查是否有异常请求记录。
页:
[1]