Esta declaração aborda preocupações sobre o ePO e a vulnerabilidade do Spring Framework CVE-2022-22965.
Aviso de segurança do Spring Framework
DescriçãoCVE-2022-22965:
Um aplicativo Spring MVC ou Spring WebFlux em execução no JDK 9 ou posterior pode ser vulnerável à execução remota de código (RCE) por meio de vinculação de dados. A exploração específica requer que o aplicativo seja executado no Tomcat como uma implantação WAR. Se o aplicativo for implantado como um JAR executável do Spring Boot, que é o padrão, ele não ficará vulnerável à exploração. Porém, a natureza da vulnerabilidade é mais geral e pode haver outras maneiras de explorá-la.
Os pré-requisitos para o exploit são:
- JDK 9 ou posterior
- Apache Tomcat como o contêiner Servlet
- Empacotado como WAR
- Dependência Spring MVC ou Spring WebFlux
Pesquisa e conclusõesA versão mais recente do ePO usa a versão JRE 1.8.0.321 (Java 8), portanto, o ePO não atende aos pré-requisitos para a exploração e não é vulnerável.