【威胁情报】企业微信爆出0day！！！

企业微信零日漏洞攻击事件，企业微信XXX.com/cgi-bin/gateway/agentinfo接口未授权情况下可直接获取企业微信secret等敏感信息，可导致企业微信全量数据被获取，文件获取、使用企业微信轻应用对内力量发送钓鱼文件和链接等风险临时缓释措施为将/cgi-bin.gateway/agentinfo在WAF上进行阻断，具体可联系企业微信团队进行应急，请各单位加强防范

复现过程

访问url/cgi-bin/gateway/agentinfo即可获取到id和secret

根据官方文档即可调用

https://developer.work.weixin.qq.com/document/path/91039