WordPress iOS应用泄露认证令牌
WordPress.com博客平台背后的公司Automattic说,它修复了其官方iOS应用程序中的一个漏洞,该漏洞可能已将用户的帐户身份验证令牌暴露给第三方网站。
该公司在本周发给用户的一封电子邮件中表示:“这个问题创造了向第三方网站公开安全证书的可能性,只会影响到外部托管图像的私人网站(例如,使用类似flickr的服务)。”
它说:“我们已经解决了这个问题,并向AppStore发布了该应用的更新版本。”
Automattic说没有透露用户名和密码,但只有“应用程序用来与WordPress.com通信/认证的安全令牌”。
这意味着如果WordPress.com博客所有者使用iOS应用程序创建或编辑包含托管在另一个站点上的图像的博客文章,那么该站点可能会意外地收到WordPress.com安全令牌。
现在有一种危险,即WordPress.com身份验证令牌目前记录在各种网站和在线服务的服务器日志中,而且不道德的网站所有者或员工可能会在其Web服务器日志中查找这些令牌。
这些令牌的值是它们可以用于访问用户的WordPress.com帐户而不需要密码。然而,Automattic告诉ZDNet,这些令牌现在已经被撤销,使它们变得无用。
自托管WordPress网站不会受到影响,因为开放源码版本使用其独立的用户系统来授予用户访问其站点的权限,而不是WordPress.com帐户。
“我们的工程师在iOS应用程序中发现了这个漏洞(Android没有受到影响),我们没有迹象表明它曾经被利用过。第一个受影响的版本是在2017年1月发布的,版本11.9.1是在2019年3月15日发布的,”一位自动发言人告诉ZDNet。
这位发言人补充说:“我们用私人网站向所有WordPress.com iOS用户发送了一条消息,并重置了他们的令牌。”