本文揭示了基于企业微信的开源SCRM系统LinkWeChat存在认证鉴权漏洞，通过分析系统架构图发现lw-gateway和lw-auth存在漏洞，攻击者可利用硬编码的密钥伪造用户认证信息，同时还发现了一个重置密码接口可用于提权。