当前位置: 首页 > news >正文

【TX 企业微信私有化历史版本 API 信息泄露】

news 2025/7/5 22:49:51

目录

影响版本

复现过程

修复方式

影响版本

影响私有化部署:
toB toG版微信 2.5.x 版本

2.6.930000 版本以下

危险程度:高危。攻击者可以进行获取企业的部门信息,员工信息,如权限较高包括应用获取,记录文件等等均可查看。

复现过程

fofa收集信息:

 利用:http://mydomain/cgi-bin/gateway/agentinfo,可以直接未授权获取到id和secret。

 企业微信开发者文档:

可拼接获取企业微信接口IP:https://qyapi.weixin.qq.com/cgi-bin/get_api_domain_ip?access_token=ACCESS_TOKEN

修复方式

 1. 联系企业微信官方获取补丁修复

 2. 限制 /cgi-bin/gateway/agentinfo 接口访问

3.  修改返回值信息,对文件加黑名单限制

http://www.lryc.cn/news/121974.html

相关文章:

  • 腾讯云轻量应用服务器镜像应用模板清单大全
  • C语言链表操作
  • 详解拦截器和过滤器
  • 关于`IRIS/Caché`进程内存溢出解决方案
  • 构建Docker容器监控系统(cadvisor+influxDB+grafana)
  • 最强自动化测试框架Playwright(17)- 模拟接口
  • Python爬虫——requests_get请求
  • 【EI复现】一种建筑集成光储系统规划运行综合优化方法(Matlab代码实现)
  • C++11 异步与通信之 std::async
  • 影视站用什么cms好?
  • HOT88-乘积最大子数组
  • 工博士与纷享销客达成战略合作,开启人工智能领域合作新篇章
  • 拆解与重构:慕云游首页组件化设计
  • 刷了3个月的华为OD算法题,刷出感觉了,如洁柔般丝滑,文末送《漫画算法2:小灰的算法进阶》
  • ip转换器哪个好用 ip地址切换器有哪些
  • 【python】爬取豆瓣电影Top250(附源码)
  • 35岁职业危机?不存在!体能断崖?不担心
  • C语言——指针进阶
  • heap pwn 入门大全 - 1:glibc heap机制与源码阅读(上)
  • 树莓派RP2040 用Arduino IDE安装和编译
  • 云安全攻防(八)之 Docker Remote API 未授权访问逃逸
  • 2023-08-13 LeetCode每日一题(合并两个有序数组)
  • nbcio-boot升级springboot、mybatis-plus和JSQLParser后的LocalDateTime日期json问题
  • 「C/C++」C/C++搭建程序框架
  • Android 内存泄漏
  • duckdb 源码分析之select执行流程
  • Android上的基于协程的存储框架
  • 虚拟现实与增强现实技术的商业应用
  • 每日后端面试5题 第六天
  • LeetCode150道面试经典题-- 两数之和(简单)