据悉，微信支付官方在5日发布声明，称微信支付的SDK重大漏洞（XXE漏洞）是XML组件默认没有禁用外部实体引用导致。

通过该漏洞，攻击者能够获得服务器中目录结构和文件内容，如各种私钥、代码等。

以下为公告原文：

尊敬的微信支付商户：

温馨提示，请贵公司研发团队关注XML外部实体注入漏洞(XXE)的相关信息：

1、XML外部实体注入漏洞(XML External Entity Injection，简称 XXE)，该安全问题是XML组件默认没有禁用外部实体引用导致。

2、请安排贵公司技术人员排查确认其系统中接收微信支付回调通知部分的逻辑是否存在XXE漏洞，同时也请排查其他相关系统是否存在该漏洞，该漏洞极易因研发人员编码遗漏引入且危害很大，具体的检查和修复方案已经在微信支付商户平台内发布公告，请尽快让技术人员进行查看和处理。

3、微信支付安全实践指引：https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5

微信支付团队

2018年7月5日

【版权声明】行行出状元平台欢迎各方(自)媒体、机构转载、引用我们原创内容，但要严格注明来源：行行出状元（www.hhczy.com）；同时，我们倡导尊重与保护知识产权，如发现本站内容存在版权问题，烦请提供版权疑问、身份证明、版权证明、联系方式等发邮件至service@hhczy.com，我们将及时沟通与处理。