未授權訪問

  • 【漏洞預警】企業微信私有化版本API介面未授權漏洞

    近期發現一個企業微信私有化歷史版本的後台API 執行權限漏洞,攻擊者可以透過發送特定封包, 取得通訊錄資訊和應用權限,透過存在漏洞風險的API,https://cncso.com/cgi- bin/gateway/agentinfo介面未授權可直接獲取企業微信secret等敏感訊息,可導致企業微信全量資料被獲取,文件獲取、使用企業微信輕應用對企業內部發送釣魚文件和連結等。

    2023年8月12日
    04.9K0