微信支付 XXE外部实体注入

果果

WHMCS的微信支付插件 有这个问题吗？？

修复方法： 【PHP】
libxml_disable_entity_loader(true);

请问这个是在PHP的配置文件里实现吗？？ 还是要在代码里。，

--------------------------------------------------
关于XML解析存在的安全问题指引
微信支付商户，最近暴露的XML外部实体注入漏洞(XML External Entity Injection，简称 XXE)，该安全问题是由XML组件默认没有禁用外部实体引用导致，非微信支付系统存在漏洞。

如果你在使用支付业务回调通知中，存在以下场景有使用XML解析的情况，请务必检查是否对进行了防范。

场景1：支付成功通知；
场景2：退款成功通知；
场景3：委托代扣签约、解约、扣款通知；
场景4：车主解约通知；

注：APP支付SDK不受影响。
检查及修复建议

1.如果您的后台系统使用了官方sdk，请更新sdk到最新版本 sdk的链接:https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=11_1
2.如果您是有系统提供商，请联系提供商进行核查和升级修复；
3.如果您是自研系统，请联系技术部门按以下指引核查和修复：

XXE漏洞需要你在代码中进行相应的设置，不同语言设置的内容不同，下面提供了几种主流开发语言的设置指引：
【PHP】
libxml_disable_entity_loader(true);

https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5

yanghao

放在代码里

waterscud

微信公众号web 的支付有没这问题啊？