已修復XXE漏洞安全通知

時間:2018/9/13 17:55:51
點擊:2290

關于XML解析存在的安全問題

微信支付商戶最近暴露的XML外部實體注入漏洞(XML External Entity Injection,簡稱 XXE),該安全問題是由XML組件默認沒有禁用外部實體引用導致,非微信支付系統存在漏洞。

在使用支付業務回調通知中,存在以下場景有使用XML解析的情況:
場景1:支付成功通知;
場景2:退款成功通知;
場景3:委托代扣簽約、解約、扣款通知;
場景4:車主解約通知;
場景5:掃碼支付模式一回調;


易物業系統已針對該漏洞進行了封堵,請放心使用。