Spring(CVE-2022-22965)框架漏洞对ManageEngine本地产品无影响

Spring(CVE-2022-22965)框架漏洞对ManageEngine本地产品无影响

Spring框架中的一个严重漏洞 ( CVE-2022-22965 ) 影响在JDK 9+上运行的Spring MVC和Spring WebFlux应用程序已于2022年3月31日被公开披露。VMWare/Spring在此处记录了此漏洞的详细信息:https: //spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
 
以下ManageEngine本地产品列表不使用或捆绑Spring库,因此不受CVE-2022-22965影响: 
 
  • ADAudit Plus
  • ADManager Plus
  • Application Control Plus
  • Applications Manager
  • Asset Explorer
  • Browser Security Plus
  • Cloud Security Plus
  • Data Security Plus
  • Desktop Central
  • Desktop Central MSP
  • Device Control Plus
  • Endpoint DLP Plus
  • Exchange Reporter Plus
  • Firewall Analyzer
  • Key Manager Plus
  • Log360 UEBA
  • M365 Manager Plus
  • M365 Security Plus
  • Mobile Device Manager Plus
  • Mobile Device Manager Plus MSP
  • NetFlow Analyzer
  • Network Configurations Manager
  • OpManager
  • OpUtils
  • OS Deployer
  • PAM360
  • Password Manager Pro
  • Patch Connect Plus
  • Patch Manager Plus
  • Recovery Manager Plus
  • Remote Access Plus
  • RMM Central
  • Secure Gateway Server
  • ServiceDesk Plus
  • ServiceDesk Plus MSP
  • SharePoint Manager Plus
  • SupportCenter Plus
  • Vulnerability Manager Plus 
以下ManageEngine本地产品列表虽然包括Spring框架库,但使用JDK8,因此不受CVE-2022-22965影响:
 
  • Access Manager Plus
  • AD360
  • ADSelf Service Plus
  • Eventlog Analyzer
  • Log360
 
注意:有报告称Spring Cloud Function中存在另一个严重漏洞CVE-2022-22963 ) ,该漏洞未被任何ManageEngine本地产品使用,因此不受该漏洞的影响。
 
 
如果有任何新信息可用,我们将更新此公告。
 
如需任何其他详细信息或帮助,请联系mes@zohocorp.com.cn

    • Related Articles

    • 【OPM】不涉及 CVE-2025-26467 & Apache Tika CVE-2025-54988 漏洞

      OpManager 不涉及 CVE-2025-26467 & Apache Tika CVE-2025-54988 漏洞 CVE-2025-26467 - 此漏洞不适用于 ITOM 产品。 CVE-2025-54988 此 CVE 与 tika-core jar 相关。当使用 jar 中的 tika-parser-pdf 模块时此CVE才适用。 我们没有使用该模块,因此此 CVE 不适用于我们的 ITOM 产品。

    • 【OPM】不涉及 Apache Tomcat CVE-2023-50164漏洞

      OpManager 不涉及Apache Tomcat CVE-2023-50164 漏洞 Apache Struts 2中的远程代码执行漏洞(CVE-2023-50164) OpManager 不涉及Apache Tomcat CVE-2023-50164 漏洞,因为在OpManager中我们不会使用该 Struts。

    • 【OPM】不涉及 Apache Tomcat CVE-2023-46589漏洞

      OpManager 不涉及Apache Tomcat CVE-2023-46589漏洞 因为OpManager中不使用 HTTP Trailer header

    • 【APM】不涉及 Apache Tomcat CVE-2023-46589漏洞

      Applications Manager 不涉及Apache Tomcat CVE-2023-46589漏洞 因为 Applications Manager 中不使用 HTTP Trailer header。 同时,该漏洞仅适用于在反向代理服务器后的APM实例之间运行。(APM和浏览器之间的代理服务器) 所以此漏洞不适用的另一个原因是漏洞利用前提需要反向代理服务器。

    • AD部分产品受Apache log4j2(CVE-2021-44228)漏洞影响(附workaround)

      经与研发团队确认,部分AD产品受Apache log4j2(CVE-2021-44228)漏洞影响,提供的workaround如下: EventLog Analyzer: We have replaced the %m with %m{nolookups} in the log4j2.properties of ES. 1.Download the log4j2.properties file from the below link.       ...