紧急通知,长亭报出企业微信存在信息泄露0day!目前已在准备预警,请注意!
企业微信URL/cgi-bin/gateway/agentinfo
接口未授权情况下可直接获取企业微信secret等敏感信息
受影响版本:2.5.x、2.6.930000、以下;
不受影响:2.7.x、2.8.x、2.9.x;
危害:
1、可导致企业微信全量数据被获取、文件获取,
2、存在使用企业微信轻应用对内发送钓鱼文件和链接等风险。
修复方法:
1、在waf上设置一个规则,匹配到/cgi-bin/gateway/agentinfo路径的进行阻断;
2、联系厂家进行获取修复包;
3、官方通报及补丁地址
复现及漏洞详情分析:
第一步:,通过泄露信息接口可以获取corpid和corpsecret
https://<企业微信域名>/cgi-bin/gateway/agentinfo
第二步,使用corpsecret和corpid获得token
https://<企业微信域名>/cgi-bin/gettoken?corpid=ID&corpsecret=SECRET
第三步,使用token访问诸如企业通讯录信息,修改用户密码,发送消息,云盘等接口
https://<企业微信域名>/cgi-bin/user/get?access_token=ACCESS_TOKEN&userid=USERID