微信支付官方回应 XXE 漏洞问题

7月6日消息，微信支付官方在昨日发布声明，称微信支付的SDK重大漏洞（XXE漏洞）是XML组件默认没有禁用外部实体引用导致。

通过该漏洞，攻击者能够获得服务器中目录结构和文件内容，如各种私钥、代码等。

以下为公告原文：

尊敬的微信支付商户：

温馨提示，请贵公司研发团队关注XML外部实体注入漏洞(XXE)的相关信息：

1、XML外部实体注入漏洞(XML External Entity Injection，简称 XXE)，该安全问题是XML组件默认没有禁用外部实体引用导致。

2、请安排贵公司技术人员排查确认其系统中接收微信支付回调通知部分的逻辑是否存在XXE漏洞，同时也请排查其他相关系统是否存在该漏洞，该漏洞极易因研发人员编码遗漏引入且危害很大，具体的检查和修复方案已经在微信支付商户平台内发布公告，请尽快让技术人员进行查看和处理。

3、微信支付安全实践指引：https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5

微信支付团队

2018年7月5日