wechat-php-sdk icon indicating copy to clipboard operation
wechat-php-sdk copied to clipboard

Published 20 hours ago verified publisher icon netputer

wechat-php-sdk 存在XXE漏洞

Open niubl opened this issue 6 years ago • 0 comments

漏洞文件: src/Wechat.php

漏洞原因: 调用simplexml_load_string函数未禁用实体引用,导致攻击者可以读取服务器任意文件

漏洞修复: 在所有调用simplexml_load_string函数前调用libxml_disable_entity_loader(true)禁止实体引用

漏洞证明: 略

报告来自: niubl of Tencent Blade Team

niubl avatar Aug 06 '18 02:08 niubl