このステートメントは、ePO と Spring Framework の脆弱性 CVE-2022-22965 に関する懸念に対処しています。
Spring Framework security advisory

説明
CVE-2022-22965:
JDK 9 以降で実行されている Spring MVC または Spring WebFlux アプリケーションは、データ バインディングを介したリモート コード実行 (RCE) に対して脆弱である可能性があります。特定のエクスプロイトでは、アプリケーションを Tomcat で WAR デプロイメントとして実行する必要があります。アプリケーションが Spring Boot 実行可能 JAR (デフォルト) としてデプロイされている場合、エクスプロイトに対して脆弱ではありません。ただし、脆弱性の性質はより一般的なものであり、他の方法で悪用される可能性があります。

エクスプロイトの前提条件は次のとおりです。

• JDK 9 以降
• サーブレット コンテナとしての Apache Tomcat
• WARとしてパッケージ化
• Spring MVC または Spring WebFlux の依存関係

調査と結論
ePO の最新バージョンは JRE バージョン 1.8.0.321 (Java 8) を使用するため、ePO はエクスプロイトの前提条件を満たしておらず、脆弱ではありません。