CVE-2021-35464 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Java 反序列化漏洞（JATO 框架）。<br>🔥 **后果**：无需认证即可 **远程执行任意代码 (RCE)**，直接 **接管服务器** 控制权。

🛠️ **缺陷点**：`jato.pageSession` 参数处理不当。<br>📉 **根源**：使用了存在缺陷的 **Sun ONE Application Framework (JATO)**，常见于 Java 8 或更早版本。

🎯 **目标**：**ForgeRock AM** (Access Manager)。<br>📅 **版本**：7.0 之前的版本。<br>🏫 **场景**：大学、社会组织广泛使用的权限控制平台。

💀 **黑客权限**：<br>1. **RCE**：在服务器上执行任意命令。<br>2. **接管**：完全控制运行 ForgeRock AM 的服务器。<br>3. **数据**：可窃取敏感访问管理数据。

🚪 **门槛极低**：<br>✅ **无需身份验证**。<br>📡 **单次请求**：构造特殊的 `/ccversion/*` 请求即可触发。<br>⚡ **远程**：无需本地访问。

📦 **有现成 Exp**：<br>1. GitHub 上有基于 **ysoserial** 的 PoC（如 `Y4er/openam-CVE-2021-35464`）。<br>2. 支持 **Tomcat 命令回显**。<br>3. Nuclei 模板已收录。

🔍 **自查特征**：<br>1. 扫描 `/OpenAM/ccversion/Version` 接口。<br>2. 检测 HTTP 请求中的 `jato.pageSession` 参数。<br>3. 使用 Nuclei 模板 `CVE-2021-35464.yaml` 快速扫描。

🛡️ **官方修复**：<br>✅ 官方已确认并修复。<br>📌 **建议**：升级至 **ForgeRock AM 7.0** 或更高安全版本。<br>📖 参考 KB 文章 `a47894244`。

⚠️ **临时规避**：<br>1. **网络隔离**：限制 `/ccversion/*` 路径的公网访问。<br>2. **WAF 规则**：拦截包含恶意序列化数据的 `jato.pageSession` 请求。<br>3. **最小权限**：确保 Tomcat 运行用户权限最低。

🔴 **优先级：极高 (Critical)**。<br>⚡ **理由**：无认证、远程执行、有成熟 PoC。<br>🚀 **行动**：立即排查受影响实例，优先打补丁或实施网络隔离。