一、概要

近日，國外安全社區(qū)公布微信支付官方SDK存在XXE嚴重漏洞，該漏洞為微信在JAVA版本的SDK中提供callback回調(diào)功能，用來幫助商家接收異步付款結(jié)果，該接口接受XML格式的數(shù)據(jù)，攻擊者可以構(gòu)造惡意的回調(diào)數(shù)據(jù)（XML格式）來竊取商家服務(wù)器上的任何信息，可導(dǎo)致商家服務(wù)器被入侵（繞過支付的效果）。目前漏洞詳細信息及攻擊方式已被公開，影響范圍巨大，建議用到微信支付SDK的租戶快速檢查并修復(fù)。

參考鏈接：

http://seclists.org/fulldisclosure/2018/Jul/3

二、漏洞級別

漏洞級別：【嚴重】

（說明：漏洞級別共四級：一般、重要、嚴重、緊急。）

三、影響范圍

漏洞影響WxPayAPI_JAVA_v3

四、安全建議

1、目前廠商已提供補丁修復(fù)該漏洞，建議受影響的租戶隨時關(guān)注廠商的下載頁以獲取最新版本，官方下載鏈接：https://pay.weixin.qq.com/wiki/doc/api/native_sl.php?chapter=11_1

2、臨時方案：使用華為云Web應(yīng)用防火墻的客戶無需升級補丁即可防御。

注意：修復(fù)漏洞前請將資料備份，并進行充分驗證和測試。