企业微信私有化历史版本后台API执行漏洞

预警背景描述

近日，监测到企业微信私有化历史版本存在后台 API 执行权限漏洞。

预警描述

企业微信XXX.com/cgi-bin/gateway/agentinfo接口未授权情况下可直接获取企业微信secret等敏感信息，可导致企业微信全量数据、文件被获取，使用企业微信轻应用对内发送钓鱼文件和链接等风险。攻击者可以通过发送特定报文获取通信录信息和应用权限。

漏洞危害

攻击者成功发利用该漏洞，可获取后台通信录信息和应用权限。

受影响范围

2.5.x版本

2.6.930000 版本以下

修复建议

目前，厂商已发布补丁修复漏洞，建议相关用户及时确认是否受到漏洞影响，尽快更新至安全版本。不受影响版本有2.7.x 版本、2.8.x版本、2.9.x版本。

临时缓释措施：将/cgi-bin.gateway/agentinfo在WAF上进行阻断（自定义规则，将/cgi-bin/gateway/agentinfo屏蔽掉）。