未授权访问
-
【漏洞预警】企业微信私有化版本API接口未授权漏洞
近期发现一个企业微信私有化历史版本的后台 API 执行权限漏洞,攻击者可以通过发送特定报文, 获取通信录信息和应用权限,通过存在漏洞风险的API,https://cncso.com/cgi-bin/gateway/agentinfo接口未授权可直接获取企业微信secret等敏感信息,可导致企业微信全量数据被获取,文件获取、使用企业微信轻应用对企业内部发送钓鱼文件和链接等。
近期发现一个企业微信私有化历史版本的后台 API 执行权限漏洞,攻击者可以通过发送特定报文, 获取通信录信息和应用权限,通过存在漏洞风险的API,https://cncso.com/cgi-bin/gateway/agentinfo接口未授权可直接获取企业微信secret等敏感信息,可导致企业微信全量数据被获取,文件获取、使用企业微信轻应用对企业内部发送钓鱼文件和链接等。