近日國外安全社區公布微信支付官方SDK存在嚴重漏洞，可導致商家服務器被入侵，一旦攻擊者獲得商家的關鍵安全密鑰，就可以通過發送偽造信息來欺騙商家而無需付費購買任何東西。目前，漏洞詳細信息以及攻擊方式已被公開，影響范圍巨大，建議用到JAVA SDK的商戶快速檢查并修復。

漏洞細節

微信支付SDK JAVA版的XXE漏洞，主要存在于商家服務器端的支付結果回調 URL 處。在該處使用DOM處理回傳的XML格式的支付結果通知時，未禁用外部實體、參數實體、內聯DTD等，從而導致存在XXE漏洞。

風險等級

360安全監測與響應中心風險評級為：高危

預警等級：藍色預警(一般網絡安全預警)

處置建議

微信官方目前已經修復了XXE漏洞。使用微信支付的企業用戶請盡快更新微信支付的 JAVA SDK 進行漏洞修復。

技術分析

微信支付 JAVA SDK 在WXPayUtil.java 中提供了 xmlToMap，用于將 XML 數據轉換為 Map 結構。其內部用到了 DocumentBuilderFactory 來以 DOM 方式解析 XML 數據。由于其允許外部實體解析，從而導致 XXE 漏洞。

目前，微信官方已通過禁止外部實體解析方式修復了該漏洞。如下圖：

河南億恩科技股份有限公司(www.czbl888.cn)始創于2000年，專注服務器托管租用，是國家工信部認定的綜合電信服務運營商。億恩為近五十萬的用戶提供服務器托管、服務器租用、機柜租用、云服務器、網站建設、網站托管等網絡基礎服務，另有網總管、名片俠網絡推廣服務，使得客戶不斷的獲得更大的收益。
服務器/云主機 24小時售后服務電話：0371-60135900
虛擬主機/智能建站 24小時售后服務電話：0371-55621053
網絡版權侵權舉報電話：0371-60135995
服務熱線：0371-60135900