1、2025-12-02 | 关于有人恶意通过SQL注入(布尔盲注)方式,使用下发指令,给被控主机安装挖矿软件的说明
漏洞描述:
在2025-08-11开始发现,有人恶意通过SQL注入(布尔盲注)方式,使用下发指令,给被控主机安装挖矿软件(Linux路径/var/tmp/schost),通常此bug需要满足以下条件【server程序运行在公网,且公众看板页面游客可以访问到】。内网运行的server不受影响,Windows被控主机也没有发现此问题
如何处理:
我们只需要将WGCLOUD升级更新到v3.6.0或者以上版本即可,如何升级/更新到新版本
2、2023-04-21 | 关于Spring Framework安全绕过漏洞(CVE-2023-20860)对WGCLOUD无影响的说明
漏洞描述:
当Spring Security配置中用作**模式时,会导致Spring Security和Spring MVC之间的mvcRequestMatcher模式不匹配。允许未经身份验证的远程攻击者通过向目标发送构造的特制请求,实现身份验证绕过,进而访问后台信息。
说明:WGCLOUD所有版本,均没有使用过漏洞中提到的组件[Spring Security],因此该漏洞对WGCLOUD运行没有影响
3、2022-04-02 | 关于Spring远程命令执行漏洞对WGCLOUD无影响的说明
漏洞描述:
Spring框架远程命令执行漏洞(CNVD-2022-23942)。攻击者利用该漏洞,可在未授权的情况下远程执行命令。
使用Spring框架或衍生框架构建网站等应用,且同时使用JDK版本在9及以上版本的,易受此漏洞攻击影响。
说明:目前WGCLOUD运行在JDK1.8环境,所以此漏洞对WGCLOUD无影响,请放心使用。我们将在v3.3.8版本升级Spring框架,完全杜绝此漏洞。
4、2021-12-10 | 关于Apache Log4j 远程代码执行漏洞对WGCLOUD无影响的说明
没有影响,请放心使用。WGCLOUD没有使用Apache Log4j 来打印输出日志,WGCLOUD采用的日志输出方式为SLF4J和Logback
程序中没有使用到Apache Log4j 来打印输出日志信息,也从没有引入过Apache log4j-core Jar包
目前网络通报中受影响的组件,WGCLOUD也没有使用
agent采用go编写,没有使用java,因此不用管
以上说明适用所有WGCLOUD版本