关于用户反映微信支付发送邮件提示XXE安全漏洞的情况

关于有用户反映微信支付发送邮件提示XXE安全漏洞的情况，我们高度重视。 用户反映： img[http://oss.xxpay.vip/img/86d9a0ae-a9ad-4fb3-9ce6-6f64037d59c08219195801296815147.png] 微信支付关于XXE漏洞的描述信息： a(https://pay.weixin.qq.com/wiki/doc/api/micropay.php?chapter=23_5)[https://pay.weixin.qq.com/wiki/doc/api/micropay.php?chapter=23_5] img[http://oss.xxpay.vip/img/d1086193-65d7-4d4f-9404-31460a44ff4b8083480823059923735.png] 排查过程： 1. 我们通过微信支付官方工具（安全医生）对Jeepay开源项目的回调地址进行了检测， 检测结果为： 【未发现安全风险】 img[http://oss.xxpay.vip/img/7a363ef2-d519-4998-8036-378c646cdf31327606679443941470.png] 2. 评估代码是否存潜在风险： Jeepay支付系统的微信相关XML拆装包工具使用WxJava开源组件， 其在两个修复补丁（3.4.0版本、2019年）已经解决该问题， 修改记录为： issue#903： a(https://github.com/Wechat-Group/WxJava/issues/903)[https://github.com/Wechat-Group/WxJava/issues/903] issue#889： a(https://github.com/Wechat-Group/WxJava/issues/889)[https://github.com/Wechat-Group/WxJava/issues/889] Jeepay目前使用版本为： [4.1.0]版本，故不存在XXE安全漏洞。 img[http://oss.xxpay.vip/img/ab535809-a061-47e4-ba66-714257a062ac7925253806871680121.png] 解决方式： 如商户有接收到微信XXE风险邮件，请按以下进行检查和处理： 1. 商户是否在Jeepay项目以外其他项目或平台配置了相关支付账号？ 若是请检查其他项目或平台服务器是否存在漏洞并修复， 若发现非法订单请及时更改商户私钥和证书，以免出现资金风险。然后按照【恢复方式】进行操作。 2. 若商户在其他项目（存在XXE漏洞）迁移到Jeepay, 请按照【恢复方式】进行恢复账号权限。 恢复方式： 首先登陆微信支付商户平台开通安全医生进行测试并保证安全检测通过，然后联系微信进行恢复。 联系微信方式：发邮件到邮箱：wepayTS@tencent.com 申请开通权限 （ a(https://developers.weixin.qq.com/community/develop/doc/000a2a01d28a78a61f6b89b5b56800?highLine=xxe)[https://developers.weixin.qq.com/community/develop/doc/000a2a01d28a78a61f6b89b5b56800?highLine=xxe] ）。 img[http://oss.xxpay.vip/img/767745d0-8d48-49b9-b73c-2d2c29f2214e1808090219517098381.png] [hr] 计全科技 2021.08