Divulgation de Spring4Shell

Déclaration de sécurité de ProcessMaker : Vulnérabilité de Spring4Shell

Le jeudi 31 mars 2022, nous avons observé l'annonce de la vulnérabilité zero-day (CVE-2022-22965) pour le Framework Spring, couramment utilisé pour les logiciels basés sur Java, à l'aide de RCE. Cette vulnérabilité est également connue sous le nom de Spring4Shell.

ProcessMaker BPM et ses intégrations ne nécessitent pas Java et n'utilisent donc pas le Spring Framework. Par conséquent, ProcessMaker BPM n'est pas impacté par cette vulnérabilité.

Par mesure de sécurité, notre équipe a effectué une évaluation complète de l'impact depuis que la vulnérabilité a été initialement documentée, et nous avons constaté qu'aucun composant ou service offert par ProcessMaker n'était affecté.

Composants analysés et identifiés comme sûrs :

  • ProcessMaker Cloud (applications Web en nuage, API RESTful, passerelles API)
  • ProcessMaker Web (site Web public)
  • Support ProcessMaker (Zendesk)
  • Services de sauvegarde (AWS Backup, AWS S3)

Pour l'instant, aucun composant n'a été identifié comme étant vulnérable à l'exploit.

Nous surveillons constamment la réponse des chercheurs en sécurité pour observer les nouvelles découvertes de cette vulnérabilité et d'autres qui pourraient arriver. D'autres mises à jour seront publiées sur cette page si nécessaire.

Avant 18 heures ET, le 4 avril 2022

Mise à jour sur la protection de la vie privée
Nous utilisons des cookies pour rendre les interactions avec notre site web et nos services faciles et significatives. Les cookies nous aident à mieux comprendre comment notre site web est utilisé et à adapter la publicité en conséquence.

Accepter