ForgeRock AM远程代码执行漏洞安全通告

作者：安全狗

发布时间：2021-07-01

　　近日，360CERT监测发现portswigger发布了ForgeRock AM远程代码执行漏洞的漏洞分析报告，漏洞编号为CVE-2021-35464，漏洞等级：严重，漏洞评分：9.8。

　　ForgeRock AM是一个开源的访问管理、权限控制平台，在大学、社会组织中存在广泛的应用。未经身份验证的攻击者可以通过构造特殊的请求远程执行任意代码，并接管运行ForgeRock AM的服务器。由于 ForgeRock AM本身的权限管理功能，攻击者在控制 ForgeRock AM的服务器还可以直接访问其他敏感服务，进行进一步的攻击。

　　该漏洞不需要进行身份认证，无需任何用户交互，攻击成本低。同时因其为关键的边界身份认证服务，一旦遭到攻击，将导致非常严重的后果，利用价值极高。

　　对此，安全狗建议广大用户及时将ForgeRock AM升级到最新版本。与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

　　漏洞详情

　　CVE-2021-35464: ForgeRock AM代码执行漏洞

　　CVE: CVE-2021-35464

　　组件: ForgeRock AM

　　漏洞类型: 代码执行

　　影响: 服务器接管

　　简述: ForgeRock AM中使用了Jato框架，该框架因历史原因已于2005年停止维护。在该框架中当处理GET请求参数jato.pageSession时会直接将其值进行反序列化。攻击者可以通过构造jato.pageSession值为恶意的序列化数据触发反序列化流程，最终导致远程代码执行。

　　修复建议

　　根据影响版本中的信息，排查并升级到安全版本

　　影响版本