ForgeRock AM远程代码执行漏洞预警（CVE-2021-35464）

2021-06-30

一、概要

近日，华为云关注到业界有安全研究人员披露ForgeRock AM存在一处远程代码执行漏洞（CVE-2021-35464），由于ForgeRock AM使用的Jato框架中不安全的Java反序列化，导致攻击者可以通过构造恶意请求触发反序列化实现任意代码执行，控制运行ForgeRock AM服务器。

ForgeRock AM是一个开源的访问管理、权限控制平台。华为云提醒使用ForgeRock AM的用户及时安排自检并做好安全加固以降低安全风险。

参考链接： https://portswigger.net/research/pre-auth-rce-in-forgerock-openam-cve-2021-35464

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

ForgeRock AM 6.0.0.x

ForgeRock AM 6.5.0.x

ForgeRock AM 6.5.1

ForgeRock AM 6.5.2.x

ForgeRock AM 6.5.3

安全版本：

ForgeRock AM 7 

四、漏洞处置

目前官方已在新版本中修复了该漏洞，请受影响的用户及时升级至安全版本。

https://backstage.forgerock.com/downloads/browse/am/featured

华为云WAF具备对该漏洞防御能力。华为云WAF用户将“Web基础防护”状态设置为“拦截”模式，具体方法请参见配置Web基础防护规则。

注：修复漏洞前请将资料备份，并进行充分测试。