CRITICAL🚩 CISA KEV⚡ EXPLOIT🇬🇧 English

CVE-2021-35464

CVSS 9.8v3.1pub. 2021-07-22upd. 2025-11-05

ForgeRock AM server before 7.0 has a Java deserialization vulnerability in the jato.pageSession parameter on multiple pages. The exploitation does not require authentication, and remote code execution can be triggered by sending a single crafted /ccversion/* request to the server. The vulnerability exists due to the usage of Sun ONE Application Framework (JATO) found in versions of Java 8 or earlier

oryginał EN
CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Forgerock Access Management

    APP
    Forgerock
    < 6.5.4
  • Forgerock Openam

    APP
    Forgerock
    9.0.0 – 14.6.3 (bez)

CISA KEV — szczegółyi

Dostawcai
ForgeRock
Produkti
Access Management (AM)
Data dodania do KEVi
3 listopada 2021
Termin remediation (USA)i
17 listopada 2021(po terminie)
Ransomwarei
Aktywne kampanie ransomware używają tej podatności
Wymagana akcja (CISA)i

Zastosuj aktualizacje zgodnie z instrukcjami producenta.

tłumaczenie AI
Pokaż oryginał (EN)

Apply updates per vendor instructions.

Opis CISAi

ForgeRock Access Management (AM) Core Server umożliwia atakującemu wysyłającemu specjalnie spreparowane żądanie HTTP do jednego z trzech endpoints (/ccversion/Version, /ccversion/Masthead, lub /ccversion/ButtonFrame) wykonanie kodu w kontekście bieżącego użytkownika (chyba że ForgeRock AM działa jako użytkownik root, co producent nie rekomenduje).

tłumaczenie AI
Pokaż oryginał (EN)

ForgeRock Access Management (AM) Core Server allows an attacker who sends a specially crafted HTTP request to one of three endpoints (/ccversion/Version, /ccversion/Masthead, or /ccversion/ButtonFrame) to execute code in the context of the current user (unless ForgeRock AM is running as root user, which the vendor does not recommend).

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
☠️WYKORZYSTYWANE W RANSOMWARECISA DEADLINE: 17 listopada 2021
Tagi
RCEDeserialization
CWE
Referencje

Powiązane podatności

CVE-2022-3748CRITICAL9.8ten sam produkt

Improper Authorization vulnerability in ForgeRock Inc. Access Management allows Authentication Bypass. This is...

CVE-2021-4201CRITICAL9.6ten sam produkt

Missing access control in ForgeRock Access Management 7.1.0 and earlier versions on all platforms allows remot...

CVE-2021-37154CRITICAL9.8ten sam produkt

In ForgeRock Access Management (AM) before 7.0.2, the SAML2 implementation allows XML injection, potentially e...

CVE-2021-37153CRITICAL9.8ten sam produkt

ForgeRock Access Management (AM) before 7.0.2, when configured with Active Directory as the Identity Store, ha...

CVE-2023-0582HIGH8.1ten sam produkt

Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') vulnerability in ForgeRock Acce...