微信支付JAVA版本SDK存在XXE漏洞预警

举报
华为云客户服务中心 发表于 2018/07/06 10:15:46 2018/07/06
【摘要】 微信支付JAVA版本SDK存在XXE漏洞预警

一、概要

近日,国外安全社区公布微信支付官方SDK存在XXE严重漏洞,该漏洞为微信在JAVA版本的SDK中提供callback回调功能,用来帮助商家接收异步付款结果,该接口接受XML格式的数据,攻击者可以构造恶意的回调数据(XML格式)来窃取商家服务器上的任何信息,可导致商家服务器被入侵(绕过支付的效果)。目前漏洞详细信息及攻击方式已被公开,影响范围巨大,建议用到微信支付SDK的租户快速检查并修复。

参考链接:

http://seclists.org/fulldisclosure/2018/Jul/3

二、漏洞级别

漏洞级别:【严重】

(说明:漏洞级别共四级:一般、重要、严重、紧急。)

三、影响范围

漏洞影响WxPayAPI_JAVA_v3

四、安全建议

1、目前厂商已提供补丁修复该漏洞,建议受影响的租户随时关注厂商的下载页以获取最新版本,官方下载链接:https://pay.weixin.qq.com/wiki/doc/api/native_sl.php?chapter=11_1

2、临时方案:使用华为云Web应用防火墙的客户无需升级补丁即可防御。

注意:修复漏洞前请将资料备份,并进行充分验证和测试。


【版权声明】本文为华为云社区用户原创内容,未经允许不得转载,如需转载请自行联系原作者进行授权。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。