3日，有网络安全机构曝光微信支付存在一组技术漏洞，攻击者可利用该漏洞伪装成微信支付平台，通过篡改数据获取“0元购物”特权。记者3日晚从微信支付官方渠道获悉，该漏洞已修复，商户无需恐慌。

漏洞披露平台发布的公开信全文

谁会使用微信支付SDK？

这次的漏洞是针对微信支付官方SDK的，那么谁会用这种SDK呢？

白帽安全总监”表示，凡是需要开通微信支付的商家都有可能用到它！

比如我们使用微信支付的时候，总有一个支付二维码，或者网上购物的时候，也有微信支付的通道，这就需要商家和微信支付建立专属通道。就拿你去买面包为例，当你扫码的时候，微信支付和商家之间的对话是这样的：

微信支付：你是哪家店的？

面包店：我是来自XXX面包店的，我的代号是***

微信支付：您生成订单了吗？

面包店：是的。

微信支付：我收了50元，金额正确吗？

面包店：对的。

微信支付：若正确，请尽快处理您的订单系统，付款已成功。

面包店：好的，我们会处理的。

据透露，由于微信官方SDK出现问题，目前基于微信支付JAVA SDK开发的微信支付功能均可能受到影响。

安全团队回应称已修复

网络安全专家谢晨介绍，从目前披露的漏洞信息来看，网络攻击者利用微信支付官方SDK（软件开发工具包）中的漏洞，伪装成“微信支付平台”，再通过微信漏洞伪造与商户的直接通信，篡改微信支付正常通信信息后达到“以旧换新”的目的。

谢晨表示，正常的支付流程应该是用户主动发起，通过微信支付平台到达商户，商户会有一个跟微信支付平台确认支付结果的流程，而网络攻击者正是利用相关漏洞“坑”了商户。谢晨认为，部分商户的安全防护等级较低，攻击者还可以通过此漏洞获取商户的密钥等信息，进而利用此漏洞实现“将订单设置为0元”等操作，严重的情况下还会造成商户的消费信息等数据内容泄露。

网络支付安全专家余迪认为，接入微信支付的商家无需恐慌。余迪表示，该漏洞仅存在于微信支付Java版SDK中，电商企业的安全防护和权限设置都比较高，因此完整的攻击行为还是有很大局限性的。一般来说，电商企业通常都有相应的对账平台，系统也具备一定的防护能力。

记者就相关问题致函微信支付，微信支付安全团队回复称：微信支付技术安全团队已第一时间关注并调查相关问题，并于当天中午在官网更新了SDK漏洞，修复了已知的安全漏洞。同时，微信支付团队提醒商家及时更新相关安全补丁。