Le jeudi 31 mars 2022, nous avons observé l'annonce de la vulnérabilité zero-day (CVE-2022-22965) pour le Framework Spring, couramment utilisé pour les logiciels basés sur Java, à l'aide de RCE. Cette vulnérabilité est également connue sous le nom de Spring4Shell.
ProcessMaker BPM et ses intégrations ne nécessitent pas Java et n'utilisent donc pas le Spring Framework. Par conséquent, ProcessMaker BPM n'est pas impacté par cette vulnérabilité.
Par mesure de sécurité, notre équipe a effectué une évaluation complète de l'impact depuis que la vulnérabilité a été initialement documentée, et nous avons constaté qu'aucun composant ou service offert par ProcessMaker n'était affecté.
Composants analysés et identifiés comme sûrs :
- ProcessMaker Cloud (applications Web en nuage, API RESTful, passerelles API)
- ProcessMaker Web (site Web public)
- Support ProcessMaker (Zendesk)
- Services de sauvegarde (AWS Backup, AWS S3)
Pour l'instant, aucun composant n'a été identifié comme étant vulnérable à l'exploit.
Nous surveillons constamment la réponse des chercheurs en sécurité pour observer les nouvelles découvertes de cette vulnérabilité et d'autres qui pourraient arriver. D'autres mises à jour seront publiées sur cette page si nécessaire.
Avant 18 heures ET, le 4 avril 2022