江西省赣州市邮政编码,seo优化顾问服务阿亮,珠海网站建设多少钱,包装策划与设计专业2023企业微信0day漏洞复现以及处理意见 一、 漏洞概述二、 影响版本三、 漏洞复现小龙POC检测脚本: 四、 整改意见 免责声明#xff1a;请勿利用文章内的相关技术从事非法测试#xff0c;由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失#x… 2023企业微信0day漏洞复现以及处理意见 一、 漏洞概述二、 影响版本三、 漏洞复现小龙POC检测脚本: 四、 整改意见 免责声明请勿利用文章内的相关技术从事非法测试由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失均由使用者本人负责所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 一、 漏洞概述
漏洞编号无
企业微信0day漏洞可以在/cgi-bin/gateway/agentinfo接口未授权情况下可直接获取企业微信secret等敏感信息可导致企业微信全量数据被获取。
漏洞危害
①可导致企业微信全量数据被获取、文件获取
②存在使用企业微信轻应用对内发送钓鱼文件和链接等风险。 二、 影响版本
受影响版本2.5.x、2.6.930000以下
不受影响2.7.x、2.8.x、2.9.x
三、 漏洞复现 FOFA语法app“Tencent-企业微信” 这里访问路径为https://xx.xx.xx.xx/cgi-bin/gateway/agentinfo这样的访问格式。
小龙POC检测脚本:
小龙POC传送门: 小龙POC工具
四、 整改意见
①等官方升级。目前尚属于0day
②接口未授权情况下可直接获取企业微信secret等敏感信息可导致企业微信全量数据被获取文件获取、使用企业微信轻应用对内力量发送钓鱼文件和链接等风险临时缓释措施为将/cgi-bin.gateway/agentinfo在WAF上进行阻断具体可联系企业微信团队进行应急请各单位加强防范。
