【漏洞预警-已验证】企业微信敏感信息泄露漏洞

漏洞信息

漏洞名称：企业微信敏感信息泄露漏洞

漏洞类型：信息泄露

漏洞等级：超危

CVE编号：--

CNVD编号：--

CNNVD编号：--

KRLab编号：Y-2023-10062

漏洞影响产品及版本

厂商信息：tencent

厂商名称：wxwork

影响版本：企业微信私有化版本<2.5.x版本

                企业微信私有化版本<2.6.930000版本

不受影响的版本：企业微信私有化2.7.x 版本、2.8.x版本、2.9.x 版本以及非私有化企业微信均不受影响。

利用条件：无

漏洞检测

漏洞简介

企业微信，是腾讯微信团队为企业打造的专业办公管理工具。与微信一致的沟通体验，丰富免费的OA应用，并与微信消息、小程序、微信支付等互通，助力企业高效办公和管理。

企业微信私有化历史版本XXX.com/cgi-bin/gateway/agentinfo接口未授权情况下可直接获取企业微信secret等敏感信息，可导致企业微信全量数据被获取，使用企业微信轻应用对内发送钓鱼文件和链接等风险。

漏洞危害

1、如果被利用，可导致企业微信全量数据被获取；

2、如果被利用，存在使用企业微信轻应用对内发送钓鱼文件和链接等风险。

漏洞验证

KRLab已对此漏洞进行了验证，如下：

漏洞验证链接：

https://vul.kr-lab.com/#/detail?id=66&type=loop&page=1

解决方案

目前厂商提供了紧急运维配置方法和后台安全补丁对所有版本进行了修复，受影响用户可通过升级版本或安全加固补丁完成对漏洞的修复。

紧急运维配置方法：将/cgi-bin.gateway/agentinfo在WAF上进行阻断。

参考链接

[1]https://stack.chaitin.com/vuldb/detail/746ba950-8bcb-4c2e-9704-b2338332e8f9

本文仅限于技术分享和学术交流。

请勿用于非法途径，所有读者在使用这些信息时应自行承担风险和责任。

回复关键字【检测工具】获取验证工具下载链接