VULHUB ™

微信支付SDK是中国腾讯（Tencent）公司的一套用于开发微信支付接口的软件工具开发包。在使用微信支付时，商家需要向微信提供一个URL用来接收异步支付结果的通知，该接口接受XML格式的数据。 微信支付SDK中存在XML外部实体注入漏洞，该漏洞源于代码遗漏，微信在支付过程中，其Java版本的SDK没有关闭XML中与外部进行实体数据交换的特性。攻击者可在获取了接收通知的URL地址的前提下通过构造恶意的XML数据包发送到该URL利用该漏洞窃取商家网站服务器上的隐私数据，甚至可以支付任意金额购买商品。

微信支付SDK是中国腾讯（Tencent）公司的一套用于开发微信支付接口的软件工具开发包。在使用微信支付时，商家需要向微信提供一个URL用来接收异步支付结果的通知，该接口接受XML格式的数据。 微信支付SDK中存在XML外部实体注入漏洞，该漏洞源于代码遗漏，微信在支付过程中，其Java版本的SDK没有关闭XML中与外部进行实体数据交换的特性。攻击者可在获取了接收通知的URL地址的前提下通过构造恶意的XML数据包发送到该URL利用该漏洞窃取商家网站服务器上的隐私数据，甚至可以支付任意金额购买商品。