公告信息
1、2023.4.21 | 关于Spring Framework安全绕过漏洞(CVE-2023-20860)对WGCLOUD无影响的说明
漏洞描述:当Spring Security配置中用作**模式时,会导致Spring Security和Spring MVC之间的mvcRequestMatcher模式不匹配。允许未经身份验证的远程攻击者通过向目标发送构造的特制请求,实现身份验证绕过,进而访问后台信息。
说明:WGCLOUD所有版本,均没有使用过漏洞中提到的组件[Spring Security],因此该漏洞对WGCLOUD运行没有影响
 
2、2022.4.2 | 关于Spring远程命令执行漏洞对WGCLOUD无影响的说明
漏洞描述:Spring框架远程命令执行漏洞(CNVD-2022-23942)。攻击者利用该漏洞,可在未授权的情况下远程执行命令。
使用Spring框架或衍生框架构建网站等应用,且同时使用JDK版本在9及以上版本的,易受此漏洞攻击影响。
说明:目前WGCLOUD运行在JDK1.8环境,所以此漏洞对WGCLOUD无影响,请放心使用。我们将在v3.3.8版本升级Spring框架,完全杜绝此漏洞。
 
3、2021.12.10 | 关于Apache Log4j 远程代码执行漏洞对WGCLOUD无影响的说明
没有影响,请放心使用。WGCLOUD没有使用Apache Log4j 来打印输出日志,WGCLOUD采用的日志输出方式为SLF4J和Logback
程序中没有使用到Apache Log4j 来打印输出日志信息,也从没有引入过Apache log4j-core Jar包
目前网络通报中受影响的组件,WGCLOUD也没有使用
agent采用go编写,没有使用java,因此不用管
以上说明适用所有WGCLOUD版本