【漏洞预警】微信支付SDK存在严重漏洞，可导致0元支付或商家服务器被黑

XXE (XML External Entity Injection) 漏洞发生在应用程序解析 XML 输入时，没有禁止外部实体的加载。是一种针对使用XML交互的Web应用程序的攻击方法。

受影响版本：


JAVA SDK，WxPayAPI_JAVA_v3

微信在JAVA版本的SDK中提供callback回调功能，用来帮助商家接收异步付款结果，该接口接受XML格式的数据，攻击者可以构造恶意的回调数据（XML格式）来窃取商家服务器上的任何信息。一旦攻击者获得了关键支付的安全密钥（md5-key和商家信息，将可以直接实现0元支付购买任何商品）。当XML允许引用外部实体时，黑客可以通过构造恶意XML实体文件，实现远程读取任意系统文件、远程执行系统命令等一系列危险操作，严重危害商家服务器的系统安全。

目前，微信官方尚未对SDK进行修复，但漏洞利用信息以及攻击方式已被公开，影响范围巨大（已经披露出的有陌陌、vivo确认存在该漏洞），建议用到微信支付JAVA SDK的企业立刻开展自查并关注微信官方安全通告。

2018年7月2号，该漏洞在国外漏洞披露网站首次公布

国外漏洞披露网站公布的实际攻击案例：

青莲云安全团队会持续跟踪该漏洞进展，请厂家持续关注。

点击此处了解XXE漏洞详情

-------------------------------------------------------------------------

| More·延伸阅读 |

XXE漏洞的攻击原理与防范：https://security.tencent.com/index.php/blog/msg/69