EasyWechat 3.0 위 챗 결제 XXE 구멍 복구

위 챗 결 제 는 최근 XXE 에 중대 한 구멍 이 생 겼 습 니 다. 복구 하지 않 으 면 결제 기능 을 정지 시 킬 수 있 습 니 다.
공식 SDK 를 사 용 했 으 니 기 존 버 전의 EASYWECHAT 사용 자 는 어떻게 복구 해 야 할 까?
1. 우선, 파일 XXX \ vendor \ overtrue \ wechat \ src \ Support \ XML. php 를 찾 아야 합 니 다.
2. 파일 의 parse 방법 을 변경 합 니 다 (약 38 줄).
    public static function parse($xml)
    {
        $backup = libxml_disable_entity_loader(true);

        $result = self::normalize(simplexml_load_string($xml, 'SimpleXMLElement', LIBXML_COMPACT | LIBXML_NOCDATA | LIBXML_NOBLANKS));

        libxml_disable_entity_loader($backup);

        return $result;
    }

libxml 가입disable_entity_loader(true);구멍 은 복구 가 완료 된다.

좋은 웹페이지 즐겨찾기