- 1已解决EROR 1064 (42000): You have an error in. your SOL syntax. check the manual that corresponds to yo_you have an error in your sol syntax; check the ma
- 2Hadoop学习日记-HDFS分布式文件存储系统整体概述_namenode和datanode分布式存储
- 3阿里云Big Data - |分层| ODS& DWD& DWS& ADS| 行为数仓_dws表 data
- 4一文读懂非关系型数据库(NoSQL)
- 5百度安全多篇议题入选Blackhat Asia以硬技术发现“芯”问题
- 6Locust性能测试教程_locust 性能测试
- 7Linux 常用命令与教程_/sbin:/usr/sbin:/usr/local/sbin:/root/bin:/usr/loc
- 8论文阅读:(AAAI 2019)M2det: A single-shot object detector based on multi-level feature pyramid network_a detector based on dl
- 9LCD1602命令代码整合
- 10基于JAVA高考志愿辅助填报系统
【高危】企业微信私有化2.5-2.6.93版本后台API未授权访问漏洞_tencent 企业微信私有化版本 agentinfo 未授权访问漏洞
赞
踩
漏洞描述
企业微信私有化2.5.x版本及2.6.930000版本以下后台中存在接口未授权访问漏洞,攻击者通过访问/cgi-bin/gateway/agentinfo接口可获得Secret,从而利用开放API获取企业通讯录等敏感信息及企业微信内应用权限。
| 漏洞名称 | 企业微信私有化2.5-2.6.93版本后台API未授权访问漏洞 |
|---|---|
| 漏洞类型 | 未授权敏感信息泄露 |
| 发现时间 | 2023/8/12 |
| 漏洞影响广度 | 广 |
| MPS编号 | MPS-3mwt-574l |
| CVE编号 | - |
| CNVD编号 | - |
影响范围
企业微信私有化版本@[2.5.0, 2.6.930000)
修复方案
参考https://doc.weixin.qq.com/doc/w3_AHMA2gaDACcx2VCiMOwRo2yoAWiVM安装官方补丁,避免 /cgi-bin/gateway/agentinfo及/cgi-bin/agent/pquery 接口对外暴露
参考链接
https://www.oscs1024.com/hd/MPS-3mwt-574l
https://doc.weixin.qq.com/doc/w3_AHMA2gaDACcx2VCiMOwRo2yoAWiVM
关于墨菲安全
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。为客户提供从供应链资产识别管理、风险检测、安全控制、一键修复的完整控制能力。
开源项目:https://github.com/murphysecurity/murphysec/?sf=qbyj
产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。
免费代码安全检测工具: https://www.murphysec.com/?sf=qbyj
免费情报订阅: https://www.oscs1024.com/cm/?sf=qbyj
