• 漏洞编号：暂无
• 漏洞类型：信息泄露
• 漏洞等级：高危
• 发布时间：2023-08-12

漏洞描述

近日，赛克艾威网络安全实验室监测到企业微信存在信息泄露漏洞，企业微信XXX.com/cgi-bin/gateway/agentinfo接口未授权情况下可直接获取企业微信secret等敏感信息。

测绘指纹

fofa:app="Tencent-企业微信"

漏洞危害

此漏洞可导致私有化企业微信全量数据被获取、文件获取。存在使用企业微信轻应用对内发送钓鱼文件和链接等风险。

修复建议

1. 官方已经发布并推送修复补丁，请及时升级至最新版本。

2. 应急处理措施：

在waf上设置一个规则，匹配到/cgi-bin/gateway/agentinfo路径的进行阻断

管理端配置可信IP，仅配置的可信IP能调用接口。