WordPress iOS应用程序漏洞将秘密访问令牌泄露给第三方网站

Automattic的一名发言人在一封电子邮件中证实，WordPress最近修补了其iOS应用程序中的一个严重漏洞，该漏洞显然泄露了用户的秘密授权令牌，这些用户的博客使用的是第三方网站上托管的图像。

WordPress工程师团队发现，该漏洞存在于WordPress iOS应用程序获取私人博客使用但托管在WordPress之外的图像的方式中。例如，Imgur或Flickr。

这意味着，如果图像托管在Imgur上，然后当WordPress iOS应用程序试图获取图像时，它会发送一个WordPress。将com授权令牌发送给Imgur，并在Imgur的web服务器的访问日志中保留该令牌的副本。

需要注意的是，用于Android设备和自托管WordPress网站的WordPress应用程序不受此问题的影响。

 

Automattic证实，该漏洞影响了两年来(2017年1月)发布的所有版本的WordPress iOS应用程序，并在上个月发布的WordPress iOS应用程序版本11.9.1中进行了补丁。

尽管该公司没有透露具体有多少用户或博客受到该问题的影响，但它确实确认，没有迹象表明泄露的访问令牌被用于未经授权访问任何受影响的账户。

这位发言人在给《黑客新闻》的信中写道：“我们的工程师在iOS应用程序中发现了这个漏洞（Android没有受到影响），我们没有任何迹象表明它曾被利用”。

Automattic还采取了预防措施，重置访问令牌，并向所有拥有私人博客的iOS用户发送警告消息。

由于该漏洞暴露的是授权令牌，而不是密码，因此无需更改密码。

建议在iOS设备上使用WordPress应用程序的博客所有者立即更新他们的应用程序。