漏洞信息
企业微信零日漏洞攻击事件,企业微信XXX.com/cgi-bin/gateway/agentinfo接口未授权情况下可直接获取企业微信secret等敏感信息,可导致企业微信全量数据被获取,文件获取、使用企业微信轻应用对内力量发送钓鱼文件和链接等风险临时缓释措施为将/cgi-bin.gateway/agentinfo在WAF上进行阻断,具体可联系企业微信团队进行应急,请各单位加强防范。
漏洞利用
- 获取Secret与strcorpid
2.获取token
3.带入token请求功能接口,具体查看https://developer.work.weixin.qq.com/document/path/96067
指纹:app="Tencent-企业微信"
企业微信零日漏洞攻击事件,企业微信XXX.com/cgi-bin/gateway/agentinfo接口未授权情况下可直接获取企业微信secret等敏感信息,可导致企业微信全量数据被获取,文件获取、使用企业微信轻应用对内力量发送钓鱼文件和链接等风险临时缓释措施为将/cgi-bin.gateway/agentinfo在WAF上进行阻断,具体可联系企业微信团队进行应急,请各单位加强防范。
原文始发于微信公众号(小黑说安全):企业微信0day!附指纹以及后续过程!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论