Cette déclaration répond aux préoccupations concernant ePO et la vulnérabilité Spring Framework CVE-2022-22965.
Avis de sécurité Spring Framework
DescriptionCVE-2022-22965 :
Une application Spring MVC ou Spring WebFlux exécutée sur JDK 9 ou version ultérieure peut être vulnérable à l'exécution de code à distance (RCE) via la liaison de données. L'exploit spécifique nécessite que l'application s'exécute sur Tomcat en tant que déploiement WAR. Si l'application est déployée en tant que JAR exécutable Spring Boot, ce qui est la valeur par défaut, elle n'est pas vulnérable à l'exploit. Mais la nature de la vulnérabilité est plus générale et il pourrait y avoir d'autres façons de l'exploiter.
Les prérequis pour l'exploit sont :
- JDK 9 ou version ultérieure
- Apache Tomcat comme conteneur de servlet
- Emballé comme WAR
- Dépendance Spring MVC ou Spring WebFlux
Recherche et conclusionsLa dernière version d'ePO utilise la version JRE 1.8.0.321 (Java 8), donc ePO ne répond pas aux prérequis pour l'exploit et n'est pas vulnérable.