已修复XXE漏洞安全通知
时间:2018/9/13 17:55:51
点击:3108
关于XML解析存在的安全问题
微信支付商户最近暴露的XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是由XML组件默认没有禁用外部实体引用导致,非微信支付系统存在漏洞。
在使用支付业务回调通知中,存在以下场景有使用XML解析的情况:
场景1:支付成功通知;
场景2:退款成功通知;
场景3:委托代扣签约、解约、扣款通知;
场景4:车主解约通知;
场景5:扫码支付模式一回调;
易物业系统已针对该漏洞进行了封堵,请放心使用。