【漏洞公告】微信支付JAVA版本SDK存在XXE漏洞

2018年07月03日,阿里云云盾应急响应中心监测到seclists.org公开微信支付SDK存在XXE漏洞。漏洞是由于微信在JAVA版本的SDK中提供callback回调功能接口,用来帮助商家接收异步付款结果,该接口接受XML格式的数据,攻击者可以通过构造恶意的回调数据(XML格式)来窃取商家服务器上的任何信息。

漏洞名称

微信支付SDK存在XXE漏洞

漏洞描述

微信在JAVA版本的SDK中提供了callback回调功能接口,用来帮助商家接收异步付款的结果。该接口接受XML格式的数据,攻击者可以通过构造恶意的回调数据(XML格式)来窃取商家服务器上的任何信息。一旦攻击者获得了商家支付的安全密钥(MD5-key和商家信息),就可以实现支付任意金额来购买商品。

漏洞利用条件和方式

XXE漏洞。

漏洞影响范围

WxPayAPI_JAVA_v3

漏洞检测

检查是否使用了受影响的版本。

漏洞修复建议

目前厂商已提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的下载页,获取最新版本更新SDK修复问题。下载地址请参见SDK与DEMO下载

临时止血方案

使用云盾WAF的用户无需升级补丁即可防御。

情报来源

https://xz.aliyun.com/t/2426

https://seclists.org/fulldisclosure/2018/Jul/3