Une vulnérabilité CVE-2022-22965, a été détectée dans VMware Spring pour les versions 9 et ultérieures de Java.
Toutes les versions de Squash TM actuellement maintenues (1.22.X, 2.X et 3.X) sont compilées en Java 8. Le cœur de Squash n'est donc pas directement impacté.
Cependant, pour pallier tout risque d'exploitation de la faille lorsque le serveur d'exécution utilisé pour faire tourner Squash TM est ultérieur à Java 9, des versions correctives ont été publiées pour toutes les versions maintenues. Elles embarquent la solution de contournement disallowed fields proposée par Spring.
Les versions correctives sont les suivantes :
A noter également que les images dockers seront disponibles dans les jours à venir
Ce correctif nécessite uniquement la mise à jour de l'application, la base de données n'est pas impactée.
Cette vulnérabilité n'impacte pas les installations de Squash AUTOM/DEVOPS ni de Xsquash (Cloud, Server et Data Center).