服务公告
微信支付JAVA版本SDK存在XXE漏洞预警
2018-07-04
一、概要
近日,国外安全社区公布微信支付官方SDK存在XXE严重漏洞,该漏洞为微信在JAVA版本的SDK中提供callback回调功能,用来帮助商家接收异步付款结果,该接口接受XML格式的数据,攻击者可以构造恶意的回调数据(XML格式)来窃取商家服务器上的任何信息,可导致商家服务器被入侵(绕过支付的效果)。目前漏洞详细信息及攻击方式已被公开,影响范围巨大,建议用到微信支付SDK的租户快速检查并修复。
参考链接:
http://seclists.org/fulldisclosure/2018/Jul/3
二、漏洞级别
漏洞级别:【严重】
(说明:漏洞级别共四级:一般、重要、严重、紧急。)
三、影响范围
漏洞影响WxPayAPI_JAVA_v3
四、安全建议
1、目前厂商已提供补丁修复该漏洞,建议受影响的租户随时关注厂商的下载页以获取最新版本,官方下载链接:https://pay.weixin.qq.com/wiki/doc/api/native_sl.php?chapter=11_1
2、临时方案:使用华为云Web应用防火墙的客户无需升级补丁即可防御。
注意:修复漏洞前请将资料备份,并进行充分验证和测试。