2018年7月2日,Rose Jackcode在packetstormsecurity披露WeChat Pay SDK XXE Injection漏洞。該漏洞產生位置位於微信的XML處理功能函數,該功能用於商家在用戶支付完成後接收異步支付消息的傳入到一個商家公開的API接口,該接口主體為提供了webservice接口服務。
該漏洞可能導致商家服務器敏感信息(包括用戶訂單,用戶私人數據等)洩露,甚至可以獲取相關密鑰數據(md5-key和merchant-id等)從而偽造支付數據包繞過付費環節。該批露文檔中已經成功利用自動化工具讀取了陌陌、vivo等互聯網公司的數據信息。
該漏洞的源代碼樣本來自於https://pay.weixin.qq.com/wiki/doc/api/download/WxPayAPI_JAVA_v3.zip
缺陷代碼位置:\java-sdk-v3\src\main\java\com\github\wxpay\sdk\WXPayUtil.java, Line 42
並且可以在README.md中看到該函數的用法,該函數主要用作支付結果反饋給用戶時驗證簽名。
代碼位置:\java-sdk-v3\README.md
目前官方最新版本仍存在該問題,未對舊版本檢測。
小編友情提示:漏洞影響範圍是使用了微信支付的網站,注意是網站,和用戶手機上的app沒關係哦 !!
分享到:
閱讀更多 國信安全湖北中心 的文章
