Ping++ 关于《微信支付接口安全提醒通知》中提到的「有较大安全隐患的 XML 外部实体注入漏洞」的说明

更新于:2018年07月04日 10:23:34

针对 7 月 3 日《微信支付接口安全提醒通知》中提到的「有较大安全隐患的XML 外部实体注入漏洞」,敬请 Ping++ 客户周知:

此次安全通知主要针对在对接微信系统,接受微信支付XML格式的商户回调通知(支付成功通知、退款成功通知、委托代扣签约/解约/扣款通知、车主解约通知)时,如未正确地进行安全设置或编码,将会引入有较大安全隐患的XML 外部实体注入漏洞的风险。如果你使用了 Ping++ 对接微信支付,将不会受到此漏洞的影响,原因如下:

1)Ping++ 系统在处理微信异步通知的时候,是直接对接的微信的接口,没有使用其 Java SDK 处理 XML 格式的商户回调通知;

2)Ping++ 客户接收的回调通知是由 Ping++ 系统送达的,因此不需要使用微信的 Java SDK 来解析回调通知。

请大家放心,Ping++ 会一如既往的专注在支付技术服务领域,为大家提供安全、可靠、高性能的支付处理服务。

另外,为了让更多企业免受于漏洞影响,微信支付也已在第一时间给出了针对此漏洞的处理方案。如果你身边有朋友遇上此漏洞,可以参考以下方式来规避风险:https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5

    您需要登录后才可以回复