微信支付 关于XML解析存在的安全问题

以下为微信商户通知,请问波总,JfinalWeixin该怎么修复?@JFinal

微信支付商户,最近暴露的XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是由XML组件默认没有禁用外部实体引用导致,非微信支付系统存在漏洞。

如果你在使用支付业务回调通知中,存在以下场景有使用XML解析的情况,请务必检查是否对进行了防范。

场景1:支付成功通知;
场景2:退款成功通知;
场景3:委托代扣签约、解约、扣款通知;
场景4:车主解约通知;



评论区

JFinal

2018-07-07 08:59

已经升级这里,用上 jfinal-weixin 2.0 即可,周一正式发布通知

zhaofan

2018-07-07 09:02

@JFinal 感谢波总

zhaofan

2018-07-09 13:52

@JFinal 请问下更新了么?

JFinal

2018-07-09 14:38

@zhaofan 已发布,直接在 pom.xml 改版本号为 2.0 即可升级

zhaofan

2018-07-09 16:18

@JFinal 好像比1.9少了一些东西,替换后几个工具找不到了

zhaofan

2018-07-09 16:19

@JFinal base64的一个工具类没了

JFinal

2018-07-09 17:47

@zhaofan 将 jfinal 中的那个 HashKit 工具拿过来用就可以了,里面有些工具类,所以去除了 jfinal weixin 中重复的工具

JFinal

2018-07-15 16:46

@zhaofan 微信官方最初发布的 XXE 解决方案不是最终方案,建议升级到 jfinal weixin 2.1 ,这版使用了微信官方后来公布的方案

热门反馈

扫码入社