RT
关于XML解析存在的安全问题指引
微信支付商户，最近暴露的XML外部实体注入漏洞(XML External Entity Injection，简称 XXE)，该安全问题是由XML组件默认没有禁用外部实体引用导致，非微信支付系统存在漏洞。

如果你在使用支付业务回调通知中，存在以下场景有使用XML解析的情况，请务必检查是否对进行了防范。

场景1：支付成功通知；
场景2：退款成功通知；
场景3：委托代扣签约、解约、扣款通知；
场景4：车主解约通知；
https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5