El viernes 10 de diciembre de 2021 observamos el anuncio de la vulnerabilidad desconocida de día cero(CVE-2021-44228) para la biblioteca de registro comúnmente utilizada para el software basado en Java llamada log4j.
ProcessMaker BPM y sus integraciones no requieren Java, por lo que no utilizan la librería log4j y, por tanto, no se han visto afectados por esta vulnerabilidad.
Como medida de seguridad, nuestro equipo ha realizado una evaluación completa del impacto desde que se documentó inicialmente la vulnerabilidad, y no hemos encontrado ningún componente o servicio ofrecido por ProcessMaker que esté afectado.
Componentes analizados e identificados como seguros:
- ProcessMaker Cloud (Aplicaciones web en la nube, APIs RESTful, Gateways API)
- ProcessMaker Web (sitio web público)
- Soporte de ProcessMaker (Zendesk)
- Servicios de backup (AWS Backup, AWS S3)
En este momento no hay componentes que hayan sido identificados como vulnerables al exploit.
Estamos vigilando constantemente la respuesta de los investigadores de seguridad para observar el posterior descubrimiento de esta vulnerabilidad y otras que puedan llegar. Se publicarán nuevas actualizaciones en esta página cuando sea necesario.
Antes de las 6 PM ET del 13 de diciembre de 2021