【紅色警報】XXE 高危漏洞將大面積影響微信支付安全,可能導致系統淪陷,請升級你的系統!

SZW發表於2018-07-04

    今天,微信支付釋出了一則緊急通知:

 

尊敬的微信支付商戶:

 

您的系統在接受微信支付XML格式的商戶回撥通知(支付成功通知、退款成功通知、委託代扣簽約/解約/扣款通知、車主解約通知)時,如未正確地進行安全設定或編碼,將會引入有較大安全隱患的XML外部實體注入漏洞(XML External Entity Injection,簡稱 XXE)。

 

請貴司研發人員務必參考微信支付安全實踐指引:https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5 ,進行安全隱患確認和排除。

 

微信支付團隊

2018年7月4號

 

科普

 

XXE漏洞全稱XML External Entity Injection即xml外部實體注入漏洞,XXE漏洞發生在應用程式解析XML輸入時,沒有禁止外部實體的載入,導致可載入惡意外部檔案,造成檔案讀取、命令執行、內網埠掃描、攻擊內網網站、發起dos攻擊等危害。xxe漏洞觸發的點往往是可以上傳xml檔案的位置,沒有對上傳的xml檔案進行過濾,導致可上傳惡意xml檔案。

微信支付將大面積受影響

    在微信支付回撥過程中,微信預設使用了XML格式的資料,因此幾乎所有微信支付流程都面臨XXE漏洞的風險。

    XXE危害有多大?輕則攻擊者可以不花一分錢完成一個“已支付”訂單,重則整個系統淪陷。

 

攻擊難度如何?

    網上搜“XXE”即可看到各種完整的攻擊教程,完成一次攻擊只需要1分鐘!所以不要心存僥倖!

 

別急,有我們在!

    Senparc 團隊在第一時間已經提供了修補程式,請將你的系統升級到 Senparc.Weixin SDK 最新版本,包括全系列MP(公眾號)、WxOpen(小程式)、Open(開放平臺)、Work(企業微信)等模組。

    同時,系統底層公共模組 Senparc.CO2NET 也為所有 C# 程式提供了徹底的一站式解決方案,在 CO2NET 最新版本(v0.1.6.1)中,提供了名為 XmlDocument_XxeFixed 的類(名稱空間:Senparc.CO2NET.ExtensionEntities),全域性使用 XmlDocument_XxeFixed 取代 XmlDocument 即可修補此漏洞。

 

Senparc.Weixin SDK 升級包地址:

MP(v5.0.6.1):

https://www.nuget.org/packages/Senparc.Weixin.MP

 

WxOpen(2.0.6.2):

https://www.nuget.org/packages/Senparc.Weixin.WxOpen

 

Open(v3.0.6.1):

https://www.nuget.org/packages/Senparc.Weixin.Open

 

Work(v2.0.6.1):

https://www.nuget.org/packages/Senparc.Weixin.Work

 

CO2NET 升級包地址:

https://www.nuget.org/packages/Senparc.CO2NET

(Senparc.Weixin 已經自帶最新 CO2NET)

 

感謝本次釋出 SDK 版本的貢獻者們:

Senparc 團隊

TomLiu-GitHub

lhg0302 

lishewen

e4ky

風格

 

加入XXE解決方案討論群:

QQ群:622959308

 

重要的事情說三遍:

馬上升級!

馬上升級!

馬上升級!

相關文章