问：如果XXE漏洞一直不修复，会有什么后果？

答：

1.如果您的支付通知回调存在XXE漏洞，一旦被攻击，贵司的订单状态在用户未支付的情况下被更改为已支付，贵司将出现资金损失。

2.因为存在资金损失的风险，微信支付将暂停贵司出资金功能权限，避免造成您账户上的资金被非法外流。

3.有部分商户还可能暂停交易权限。

问：怎么检测是否还存在漏洞？

答：

1.使用贵司商户号登录商户平台（pay.weixin.qq.com），进入【产品中心】-->【安全医生】，开通后即可进行安全检测。

2.也可以使用https://developers.weixin.qq.com/community/pay/doc/0000aa8fa7ceb0fb1678c3fa05b808说明自行验证。

问：安全医生开通一直报错“域名校验失败”或“文件未正确放置”

答：

1.每次打开验证页面后，请不要关闭页面，放置域名根目录，确认访问正常后点击验证；

2.如果关闭页面重新进入，验证文件需重新放置。

问：为什么做了修复措施，漏洞一直存在？

答：

1.根据指引确认，是否所有回调都进行了修复措施；

2.要在代码中禁用XML实体解析，不能只是将页面报错处理；

3.如果不再使用的支付回调，请将其删除；

4.可以改为主动查单， 将原有支付回调都删除；

问：因XXE被停了交易交易权限/功能权限，需要怎么恢复？

答：

1.必须先修复XXE漏洞；

2.进入微信支付在线技术支持页面：（https://support.pay.weixin.qq.com/online-service?from=wechatpay），微信扫码登录后输入“人工”，选择问题分类为“其他问题”-“商户安全”与我们联系并申请恢复权限。

问：没有技术人员，需要怎么修复？

答：

1.更换使用安全的支付系统，比如使用微信买单，其他服务商的系统。

问：支付系统不用了，为什么还提示需要修复？

答：因为回调漏洞一直存在，贵司的系统存在被攻击的风险。需要将有漏洞的链接下线。

问：如果有多个商户号， 需要每个商户号都开通安全医生吗？

答：不需要， 如果您多个商户号是相同的域名，有一个开通扫描即可。相同的回调链接也不需要重复检查。

问：Coldfusion/lucee和node.js有漏洞怎么修复？

答：请更新到代码库的最新版本

问：有其他难题怎么解决

答：请使用线上咨询渠道或社区咨询