微信支付JAVA版本SDK存在XXE漏洞预警

一、概要

近日，国外安全社区公布微信支付官方SDK存在XXE严重漏洞，该漏洞为微信在JAVA版本的SDK中提供callback回调功能，用来帮助商家接收异步付款结果，该接口接受XML格式的数据，攻击者可以构造恶意的回调数据（XML格式）来窃取商家服务器上的任何信息，可导致商家服务器被入侵（绕过支付的效果）。目前漏洞详细信息及攻击方式已被公开，影响范围巨大，建议用到微信支付SDK的租户快速检查并修复。

参考链接：

http://seclists.org/fulldisclosure/2018/Jul/3

二、漏洞级别

漏洞级别：【严重】

（说明：漏洞级别共四级：一般、重要、严重、紧急。）

三、影响范围

漏洞影响WxPayAPI_JAVA_v3

四、安全建议

1、目前厂商已提供补丁修复该漏洞，建议受影响的租户随时关注厂商的下载页以获取最新版本，官方下载链接：https://pay.weixin.qq.com/wiki/doc/api/native_sl.php?chapter=11_1

2、临时方案：使用华为云Web应用防火墙的客户无需升级补丁即可防御。

注意：修复漏洞前请将资料备份，并进行充分验证和测试。