企业微信疑似存在信息获取漏洞
据 NodeSeek 论坛消息,企业微信
应急方法:
在 waf 上设置一个规则,匹配到
——————
[1] www.nodeseek.com
据 NodeSeek 论坛消息,企业微信
XXX.com/cgi-bin/gateway/agentinfo 接口未授权情况下可直接获取企业微信 secret 等敏感信息,可导致企业微信全量数据被获取、文件获取,存在使用企业微信轻应用对内发送钓鱼文件和链接等风险。应急方法:
在 waf 上设置一个规则,匹配到
/cgi-bin/gateway/agentinfo 路径的进行阻断——————
[1] www.nodeseek.com
