【红色警报】XXE 高危漏洞将大面积影响微信支付安全,可能导致系统沦陷,请升级你的系统!
今天,微信支付发布了一则紧急通知:
尊敬的微信支付商户:
您的系统在接受微信支付XML格式的商户回调通知(支付成功通知、退款成功通知、委托代扣签约/解约/扣款通知、车主解约通知)时,如未正确地进行安全设置或编码,将会引入有较大安全隐患的XML外部实体注入漏洞(XML External Entity Injection,简称 XXE)。
请贵司研发人员务必参考微信支付安全实践指引:https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5 ,进行安全隐患确认和排除。
微信支付团队
2018年7月4号
科普
XXE漏洞全称XML External Entity Injection即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。xxe漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意xml文件。
微信支付将大面积受影响
在微信支付回调过程中,微信默认使用了XML格式的数据,因此几乎所有微信支付流程都面临XXE漏洞的风险。
XXE危害有多大?轻则攻击者可以不花一分钱完成一个“已支付”订单,重则整个系统沦陷。
攻击难度如何?
网上搜“XXE”即可看到各种完整的攻击教程,完成一次攻击只需要1分钟!所以不要心存侥幸!
别急,有我们在!
Senparc 团队在第一时间已经提供了修补程序,请将你的系统升级到 Senparc.Weixin SDK 最新版本,包括全系列MP(公众号)、WxOpen(小程序)、Open(开放平台)、Work(企业微信)等模块。
同时,系统底层公共模块 Senparc.CO2NET 也为所有 C# 程序提供了彻底的一站式解决方案,在 CO2NET 最新版本(v0.1.6.1)中,提供了名为 XmlDocument_XxeFixed 的类(命名空间:Senparc.CO2NET.ExtensionEntities),全局使用 XmlDocument_XxeFixed 取代 XmlDocument 即可修补此漏洞。
Senparc.Weixin SDK 升级包地址:
MP(v5.0.6.1):
https://www.nuget.org/packages/Senparc.Weixin.MP
WxOpen(2.0.6.2):
https://www.nuget.org/packages/Senparc.Weixin.WxOpen
Open(v3.0.6.1):
https://www.nuget.org/packages/Senparc.Weixin.Open
Work(v2.0.6.1):
https://www.nuget.org/packages/Senparc.Weixin.Work
CO2NET 升级包地址:
https://www.nuget.org/packages/Senparc.CO2NET
(Senparc.Weixin 已经自带最新 CO2NET)
感谢本次发布 SDK 版本的贡献者们:
Senparc 团队
TomLiu-GitHub
lhg0302
lishewen
e4ky
风格
加入XXE解决方案讨论群:
QQ群:622959308
重要的事情说三遍:
马上升级!
马上升级!
马上升级!
- [深入理解计算机系统][2.2.5]有符号数和无符号数不匹配导致的安全漏洞
- SQL语句因编写不当可能导致系统不安全
- ShopXP购物系统爆高危安全漏洞 SCANV团队独家提供解决方案
- Liveupdate的安全漏洞导致MSN升级被挂马而绕过诺顿防火墙
- 不安全配置Nginx可能导致的安全漏洞
- iPhone将升级系统封堵安全漏洞
- 影响 Linux 系统安全基石的 glibc 严重漏洞
- iPhone将升级系统封堵安全漏洞
- Flash Player类型混淆严重漏洞,成功利用可能导致任意代码执行(CVE-2018-15981)
- ARM CEO:没有绝对安全,芯片漏洞可能再次发生
- 安卓系统“Janus”安全漏洞修复
- 系统升级/重装导致金蝶数据库账套丢失找回
- 网络安全法首案 四川一家网站因高危漏洞遭入侵被罚
- [Struts 2.3 Upgrading Issue]Struts2.0因安全漏洞升级到2.3的操作手册和遇到的问题
- SCANV团队:警惕Zimbra高危安全漏洞
- 如何安全的升级centos系统中的python
- 解决VS 2012 升级sp1 导致 “Visual Studio 遇到了异常。这个可能是由某个扩展导致的”
- 系统升级导致cocoapod不能用
- GitHub修复了允许任意代码执行的安全漏洞 Windows不受影响
- SSL密钥重新协商机制有最大安全漏洞,急需用户升级补漏