Please log in to continue
WalkMe stores your data in the region chosen during account setup.
We have data centers in the US and EU that follow local privacy and compliance laws. If you're not sure which region to select, check with your admin.
El 9 de diciembre de 2021, se informó de una vulnerabilidad crítica recientemente descubierta de ejecución remota de código (RCE) sin autenticación de día cero (CVE-2021-44228, CVE-2021-4104) en la biblioteca de registro de Java de código abierto Apache Log4j. Log4j se incorpora a muchos marcos populares, lo que hace que el impacto sea generalizado. Es fácil de explotar y permite a los atacantes obtener un control total de los servidores afectados.
WalkMe es consciente de la vulnerabilidad y ha completado la verificación de que este problema no afecta directamente a los productos o servicios de WalkMe.
WalkMe está realizando actualmente una evaluación completa para determinar el posible impacto indirecto del incidente de Log4j en los entornos de tecnología de la información internos y del cliente. Este esfuerzo incluye necesariamente la investigación de cualquier riesgo o vulnerabilidad potencial relacionado con Log4j de nuestros subcontratistas.
Para todos nuestros servicios internos afectados, hemos parcheado la biblioteca log4j2 y hemos implementado los servicios parcheados en producción.
Servicios que se ejecutan en el entorno cliente del cliente:
| Productos de WalkMe | Estado | Descripción |
| WalkMe Player | No afectado | Aplicación JS del lado del cliente. No se utiliza Log4j directa o indirectamente. |
| WalkMe Editor | No afectado | Electron basado en Chromium. Aplicación de JavaScript del lado del cliente. No se utiliza Log4j directa o indirectamente. |
| WalkMe Desktop | Sin impacto. | Aplicación C# y Java del lado del cliente. No se utiliza Log4j directa o indirectamente. |
| Extensión de WalkMe | No afectado | Las extensiones del navegador WalkMe son aplicaciones JS. No se utiliza Log4j directa o indirectamente. |
| WalkMe Mobile SDK | No afectado | WalkMe Mobile SDK para Android e iOS no utiliza Log4j. |
Servicios que son administrados y alojados por WalkMe:
| Productos de WalkMe | Estado | Descripción |
| WalkMe Insights | No es vulnerable | No hay uso vulnerable directo de Log4j. |
| WalkMe Mobile | No es vulnerable | La versión de Log4j utilizada no es vulnerable. |
| WalkMe Platform | No es vulnerable | No hay uso vulnerable directo de Log4j. |
Estamos trabajando para identificar las aplicaciones y servicios que dependen de Apache Log4j. Estas aplicaciones se están revisando y actualizando si es necesario, para mejorar la detección y mitigación de los riesgos que surgen del reciente problema de seguridad Log4j.
Estamos realizando un análisis exhaustivo de estos servicios y hosts. Específicamente, el exploit para CVE-2021-44228 se basa en patrones particulares en los mensajes y parámetros de registro, por ejemplo ${jndi:(ldap[s]?|rmi|dns):/[^n]+. Para cada servicio potencialmente afectado, realizamos un análisis de registro para exponer cualquier intento de explotación.
Hasta ahora, no creemos que nuestros productos sean vulnerables a la explotación, y estamos trabajando en estrecha colaboración con los proveedores de nuestra cadena de suministro para garantizar que completen las investigaciones y la mitigación.
Para las implementaciones SaaS de WalkMe y WalkMe Autogestionadas, no se requiere ninguna acción del cliente.
WalkMe es consciente de las recomendaciones comunicadas por las autoridades y continúa supervisando las comunicaciones y evaluando si las recomendaciones críticas afectan a algún componente de las operaciones de WalkMe.
En general, WalkMe recomienda encarecidamente a todos los clientes que administran sus propios entornos no relacionados con WalkMe que contienen Log4j2 2.0 a 2.15 que actualicen a Log4j-2.16.0 o posterior y se pongan en contacto con sus proveedores de la cadena de suministro para garantizar la aplicación de parches cuando sea aplicable.
Siguiendo nuestra declaración anterior, confirmamos que WalkMe no se ve afectado por la vulnerabilidad CVE-2021-45046. CVE-2021-45046 tiene una puntuación CVSS más baja de 3,7 debido al impacto de la condición que se puede invocar.
Para las implementaciones SaaS de WalkMe y WalkMe Autogestionadas, no se requiere ninguna acción del cliente.
WalkMe continuará actualizándose a medida que haya información adicional disponible. Para cualquier información adicional o asistencia, por favor contacte con el soporte de WalkMe.