Am Donnerstag, den 31. März 2022, haben wir die Ankündigung der Zero-Day-Schwachstelle(CVE-2022-22965) für das häufig verwendete Spring Framework für Java-basierte Software mit RCE beobachtet. Diese Sicherheitslücke ist auch als Spring4Shell bekannt.
ProcessMaker BPM und seine Integrationen benötigen kein Java und verwenden daher auch nicht das Spring Framework. Daher ist ProcessMaker BPM von dieser Sicherheitslücke nicht betroffen.
Als Sicherheitsmaßnahme hat unser Team seit der ersten Dokumentation der Schwachstelle eine vollständige Folgenabschätzung durchgeführt, und wir haben festgestellt, dass keine von ProcessMaker angebotene Komponente oder Dienstleistung betroffen ist.
Die Komponenten wurden analysiert und als sicher eingestuft:
- ProcessMaker Cloud (Cloud-Webanwendungen, RESTful APIs, API-Gateways)
- ProcessMaker Web (Öffentliche Website)
- ProcessMaker Unterstützung (Zendesk)
- Sicherungsdienste (AWS Backup, AWS S3)
Zurzeit gibt es keine Komponenten, die als anfällig für die Sicherheitslücke identifiziert wurden.
Wir beobachten ständig die Reaktionen von Sicherheitsforschern, um weitere Entdeckungen dieser und anderer Sicherheitslücken zu beobachten. Weitere Aktualisierungen werden bei Bedarf auf dieser Seite veröffentlicht.
Bis 6 PM ET, 4. April 2022