一、漏洞详情

ForgeRock Access Management(AM)是一个开源的访问管理、权限控制平台，在大学、社会组织中存在广泛的应用。

ForgeRock发布安全公告，修复了ForgeRock Access Management(AM)存在的远程代码执行漏洞，漏洞CVE编号：CVE-2021-35464。该漏洞是由于ForgeRock AM使用了Jato框架，在该框架中处理GET请求中jato.pageSession参数时会直接将其值进行反序列化。攻击者可在无需认证的情况下，通过构造恶意的请求，触发反序列化，从而执行任意代码，最终可接管运行ForgeRock AM的服务器。

建议受影响用户及时将ForgeRock AM升级至最新版本进行防护，做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

ForgeRock AM 6.0.0.x

ForgeRock AM 6.5.0.x

ForgeRock AM 6.5.1

ForgeRock AM 6.5.2.x

ForgeRock AM 6.5.3

三、修复建议

1.建议受影响用户升级至ForgeRock AM 7或更高版本。

下载地址：https://backstage.forgerock.com/downloads/

2.临时缓解措施：

1）通过注释AMweb.xml文件中的以下部分来禁止VersionServlet的映射，防止攻击者访问相关路径。

<servlet-mapping>

<servlet-name>VersionServlet</servlet-name>

<url-pattern>/ccversion/*</url-pattern>

</servlet-mapping>

2）使用反向代理或者其他方法阻止对ccversion端点的请求。同时避免出现通过反向代理进行Tomcat路径遍历的漏洞。