XXE (XML External Entity Injection) 漏洞發生在應用程式解析 XML 輸入時，沒有禁止外部實體的載入。是一種針對使用XML互動的Web應用程式的攻擊方法。
受影響版本：
 JAVA SDK，WxPayAPI_JAVA_v3
微信在JAVA版本的SDK中提供callback回撥功能，用來幫助商家接收非同步付款結果，該介面接受XML格式的資料，攻擊者可以構造惡意的回撥資料（XML格式）來竊取商家伺服器上的任何資訊。一旦攻擊者獲得了關鍵支付的安全金鑰（md5-key和商家資訊，將可以直接實現0元支付購買任何商品）。當XML允許引用外部實體時，黑客可以通過構造惡意XML實體檔案，實現遠端讀取任意系統檔案、遠端執行系統命令等一系列危險操作，嚴重危害商家伺服器的系統安全。

目前，微信官方尚未對SDK進行修復，但漏洞利用資訊以及攻擊方式已被公開，影響範圍巨大（已經披露出的有陌陌、vivo確認存在該漏洞），建議用到微信支付JAVA SDK的企業立刻開展自查並關注微信官方安全通告。

2018年7月2號，該漏洞在國外漏洞披露網站首次公佈

國外漏洞披露網站公佈的實際攻擊案例：

青蓮雲安全團隊會持續跟蹤該漏洞進展，請廠家持續關注。

點選此處瞭解XXE漏洞詳情

-------------------------------------------------------------------------

| More·延伸閱讀 |

XXE漏洞的攻擊原理與防範：https://security.tencent.com/index.php/blog/msg/69