ForgeRock AM远程代码执行漏洞(CVE-2021-35464)风险通告

2021-06-30 14:43:22
2021年6月30日,国外安全研究人员披露了 ForgeRock AM远程代码执行漏洞,该漏洞风险极大,利用门槛较低,攻击者利用漏洞可接管运行ForgeRock AM的服务器,腾讯安全专家建议受影响的用户尽快升级到安全版本。

2021630日,国外安全研究人员披露了 ForgeRock AM远程代码执行漏洞,该漏洞风险极大,利用门槛较低,攻击者利用漏洞可接管运行ForgeRock AM的服务器,腾讯安全专家建议受影响的用户尽快升级到安全版本。

 

漏洞描述:

2021630日,国外安全研究人员披露了ForgeRock AM远程代码执行漏洞。攻击者可在无需认证的情况下,通过构造特殊的请求,触发反序列化,从而执行任意代码,接管运行ForgeRock AM的服务器。

 

ForgeRock AM是一个开源的访问管理、权限控制平台。

 

漏洞编号:CVE-2021-35464

 

漏洞等级:高危CVSS评分9.8

 

漏洞状态:

漏洞细节:已公开

漏洞POC:已公开

漏洞EXP:已公开

在野利用:未知

 

漏洞复现与验证:

腾讯安全专家对该漏洞进行了复现验证: