Esta declaración aborda las preocupaciones sobre ePO y la vulnerabilidad Spring Framework CVE-2022-22965.
Aviso de seguridad de Spring Framework
DescripciónCVE-2022-22965:
Una aplicación Spring MVC o Spring WebFlux que se ejecuta en JDK 9 o posterior puede ser vulnerable a la ejecución remota de código (RCE) a través del enlace de datos. El exploit específico requiere que la aplicación se ejecute en Tomcat como una implementación WAR. Si la aplicación se implementa como un JAR ejecutable de Spring Boot, que es el valor predeterminado, no es vulnerable al exploit. Sin embargo, la naturaleza de la vulnerabilidad es más general y puede haber otras formas de explotarla.
Los requisitos previos para el exploit son:
- JDK 9 o posterior
- Apache Tomcat como contenedor de Servlet
- Paquetetado como GUERRA
- Dependencia de Spring MVC o Spring WebFlux
Investigación y conclusionesLa última versión de ePO utiliza la versión de JRE 1.8.0.321 (Java 8), por lo que ePO no cumple los requisitos previos para el exploit y no es vulnerable.