Spring4shellの脆弱性(CVE-2022-22965)についてのお知らせ

UiPathはSpring4Shellの脆弱性(CVE-2022-22965)を認識しており、現在弊社の製品およびサービス提供への影響について調査中です。
最新の調査状況は以下のページをご確認ください。

また、調査進捗があり次第、こちらのスレッドでも適宜情報更新致します。

2 Likes

公式ページにて調査状況が更新されました。
以下、日本語訳です。

Version: 1.1

UiPathセキュリティチームとプロダクトエンジニアリングチームは、UiPath製品における、CVE-2022-22965に分類されるSpring4Shell脆弱性の暴露分析を行っています。
この投稿は、現在までの進捗状況を詳細に説明するものです。尚、掲載されているCVEについては、製品およびサービスの評価が完了しています。
今後も重要な情報を入手次第、このページを順次更新する予定です。
私たちの目的は、お客様が自社のセキュリティ体制に対するリスクを迅速に軽減できるようにすることです。

現在までに判明した事項は以下の通りです。

  1. 以下の製品は、脆弱性のある Spring Framework ライブラリを含んでいますが、悪用に対する緩和策が既に取られているため、既知のリスクはありません。UiPathは、これらの製品を将来のリリースで更新する予定です。
  • AI Center
  • Automation Suite
  • Cloud Elements
  • Insights
  • Test Manager
  1. UiPathのAutomation Cloudにおいて、脆弱性のあるSpring Frameworkライブラリを含むサービスは、既に脆弱性を完全に修正するためのアップデートが完了しています。尚、これらのサービスに対する緩和策による既知のリスクはありません。

  2. 以下の製品は、クラウドサービス版、オンプレミス版ともに、脆弱性のあるSpring Frameworkライブラリは含まれておらず、現時点では既知のリスクはございません。

  • Studio (全種類)、Assistant、Robot (AI RobotsやCloud Robotsを含む全種類)、Studioに同梱されているすべての拡張機能(ブラウザーの拡張機能など)
  • UiPathのオフィシャルフィードにパブリッシュされた全てのUiPathアクティビティパッケージ
  • Orchestrator
  • Automation Hub (Task Captureを含む)
  • Data Service
  • Task Mining
  • Process Mining
  • Test Manager
  • Automation Ops
  • Action Center
  • Apps
  • High Availability Add-on (HAA)