1、2023.4.21 | 关于Spring Framework安全绕过漏洞（CVE-2023-20860）对WGCLOUD无影响的说明

漏洞描述：当Spring Security配置中用作**模式时，会导致Spring Security和Spring MVC之间的mvcRequestMatcher模式不匹配。允许未经身份验证的远程攻击者通过向目标发送构造的特制请求，实现身份验证绕过，进而访问后台信息。

说明：WGCLOUD所有版本，均没有使用过漏洞中提到的组件[Spring Security]，因此该漏洞对WGCLOUD运行没有影响

 

2、2022.4.2 | 关于Spring远程命令执行漏洞对WGCLOUD无影响的说明

漏洞描述：Spring框架远程命令执行漏洞（CNVD-2022-23942）。攻击者利用该漏洞，可在未授权的情况下远程执行命令。

使用Spring框架或衍生框架构建网站等应用，且同时使用JDK版本在9及以上版本的，易受此漏洞攻击影响。

说明：目前WGCLOUD运行在JDK1.8环境，所以此漏洞对WGCLOUD无影响，请放心使用。我们将在v3.3.8版本升级Spring框架，完全杜绝此漏洞。

 

3、2021.12.10 | 关于Apache Log4j 远程代码执行漏洞对WGCLOUD无影响的说明

没有影响，请放心使用。WGCLOUD没有使用Apache Log4j 来打印输出日志，WGCLOUD采用的日志输出方式为SLF4J和Logback

程序中没有使用到Apache Log4j 来打印输出日志信息，也从没有引入过Apache log4j-core Jar包

目前网络通报中受影响的组件，WGCLOUD也没有使用

agent采用go编写，没有使用java，因此不用管

以上说明适用所有WGCLOUD版本