全部产品
云市场
云游戏

【漏洞公告】微信支付JAVA版本SDK存在XXE漏洞

更新时间:2018-07-03 22:28:24

2018年7月3日,阿里云云盾应急响应中心监测到seclists.org公开微信支付SDK存在XXE漏洞,该漏洞为微信在JAVA版本的SDK中提供callback回调功能,用来帮助商家接收异步付款结果,该接口接受XML格式的数据,攻击者可以构造恶意的回调数据(XML格式)来窃取商家服务器上的任何信息。

漏洞详情见下文


漏洞名称

微信支付SDK存在XXE漏洞

漏洞描述

微信在JAVA版本的SDK中提供callback回调功能,用来帮助商家接收异步付款结果,该接口接受XML格式的数据,微信在Java版本的SDK中处理这个过程时没有正确处理XML数据,攻击者可以构造恶意的回调数据(XML格式)来窃取商家服务器上的任何敏感信息。一旦攻击者获得了商家支付的安全密钥(md5-key和商家信息),从而实现任意金额购买商品

漏洞利用条件和方式

XXE漏洞

漏洞影响范围

WxPayAPI_JAVA_v3

漏洞检测

检查是否使用了受影响版本

漏洞修复建议(或缓解措施)

目前厂商已提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的下载页以获取最新版本,更新sdk修复问题:

https://pay.weixin.qq.com/wiki/doc/api/native_sl.php?chapter=11_1

临时止血方案:

使用云盾WAF的客户无需升级补丁即可防御。

情报来源

https://xz.aliyun.com/t/2426http://seclists.org/fulldisclosure/2018/Jul/3