XXE漏洞

您好：
我是360代码卫士的工作人员，在我们的开源项目代码检测过程中发现weixin-java-tools项目存在XXE漏洞，详细信息如下：
在BaseWxPayResult.java文件的getXmlDoc方法中：
![default](https://user-images.githubusercontent.com/39950310/50272063-8e7ec900-0471-11e9-9578-375e8db08721.png)
创建了xml解析器，但没有禁用外部实体就直接用于解析xml导致了xxe漏洞

此处是一个xxe盲注，做个简单的复现
在BaseWxPayResultTest.java对xmlStr做个修改
![default](https://user-images.githubusercontent.com/39950310/50272206-f8976e00-0471-11e9-83b3-e21f0771ae1f.png)
日志信息
![default](https://user-images.githubusercontent.com/39950310/50272268-32687480-0472-11e9-9cdf-61137dfd052f.png)
还望及时修复

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Uh oh!

Uh oh!

XXE漏洞 #889

Metadata

Assignees

Labels

Projects

Milestone

Relationships

Development

Uh oh!

XXE漏洞 #889

Description

Metadata

Metadata

Assignees

Labels

Projects

Milestone

Relationships

Development

Issue actions