El jueves 31 de marzo de 2022, observamos el anuncio de la vulnerabilidad de día cero(CVE-2022-22965) para el comúnmente usado Spring Framework para software basado en Java usando RCE. Esta vulnerabilidad también se conoce como Spring4Shell.
ProcessMaker BPM y sus integraciones no requieren Java, por lo que no utilizan Spring Framework. Por lo tanto, ProcessMaker BPM no se ve afectado por esta vulnerabilidad.
Como medida de seguridad, nuestro equipo ha realizado una evaluación completa del impacto desde que se documentó inicialmente la vulnerabilidad, y no hemos encontrado ningún componente o servicio ofrecido por ProcessMaker que esté afectado.
Componentes analizados e identificados como seguros:
- ProcessMaker Cloud (Aplicaciones web en la nube, APIs RESTful, Gateways API)
- ProcessMaker Web (sitio web público)
- Soporte de ProcessMaker (Zendesk)
- Servicios de backup (AWS Backup, AWS S3)
En este momento no hay componentes que hayan sido identificados como vulnerables al exploit.
Vigilamos constantemente la respuesta de los investigadores de seguridad para observar nuevos descubrimientos de esta vulnerabilidad y otras que puedan llegar. Se publicarán más actualizaciones en esta página cuando sea necesario.
Antes de las 6 PM ET del 4 de abril de 2022