1 2 3

   首页  >  网络安全

企业微信私有化历史版本后台API执行漏洞

预警背景描述

近日,监测到企业微信私有化历史版本存在后台 API 执行权限漏洞。

预警描述

企业微信XXX.com/cgi-bin/gateway/agentinfo接口未授权情况下可直接获取企业微信secret等敏感信息,可导致企业微信全量数据、文件被获取,使用企业微信轻应用对内发送钓鱼文件和链接等风险。攻击者可以通过发送特定报文获取通信录信息和应用权限。

漏洞危害

攻击者成功发利用该漏洞,可获取后台通信录信息和应用权限。

受影响范围

2.5.x版本

2.6.930000 版本以下

修复建议

目前,厂商已发布补丁修复漏洞,建议相关用户及时确认是否受到漏洞影响,尽快更新至安全版本。不受影响版本有2.7.x 版本、2.8.x版本、2.9.x版本。

临时缓释措施:将/cgi-bin.gateway/agentinfo在WAF上进行阻断(自定义规则,将/cgi-bin/gateway/agentinfo屏蔽掉)。



© 2019 www.qhnu.edu.cn all rights reserved. 青ICP备020070号
网络信息中心技术支持  地址:西宁市城北校区