漏洞概述
近期发现一个企业微信私有化历史版本的后台 API 执行权限漏洞,攻击者可以通过发送特定报文,获取通信录信息和应用权限。我司已于 2023 年8月 12 日提供了紧急运维配置方法和后台安全补丁对所有版本进行了修复,受影响用户可通过升级版本或者安全加固补丁完成对漏洞的修复。
产品名称 | 版本 | 是否受影响 | 风险和处置方案 |
企业微信私有化(含政 务微信) | 2.5.x 版本 2.6.930000 版本以下 | 受影响 | 末使用安全网关和应用代理的,在所有逻辑机上拦截指定 API。 有在使用 安全网关和应用代理,在所有接入机上拦截指定 API,并更新后台补丁包。 处置方案详见企业微信原厂 Wiki: https://tapd.tencent.com/WeWorkLocalDocu/markdown wikis/show/#12203822820025400 11 |
2.7.x版本 2.8.x 版本 2.9.x 版本 | 不受影响 | 无需处置 |
影响后果
攻击者可利用该漏洞获取后台通信录信息和应用权限。
补丁获取途径
企业微信原厂已通知全部服务商,联系我们可获取修复方案和修复包。
微信扫码
在线咨询
