Inicio / Actualidad / Error de la aplicación iOS de WordPress que filtró los tokens de acceso a sitios de terceros

Error de la aplicación iOS de WordPress que filtró los tokens de acceso a sitios de terceros

Si tiene un blog “privado” con WordPress.com y está utilizando su aplicación oficial de iOS para crear o editar publicaciones y páginas, es posible que el token de autenticación secreto de su cuenta de administrador se haya filtrado a sitios web de terceros.

WordPress ha solucionado recientemente una grave vulnerabilidad en su aplicación iOS que aparentemente filtró tokens de autorización secreta para los usuarios cuyos blogs usaban imágenes alojadas en sitios de terceros.

Descubierta por el equipo de ingenieros de WordPress, la vulnerabilidad residía en la forma en que la aplicación de WordPress para iOS estaba obteniendo imágenes utilizadas por blogs privados pero alojadas fuera de WordPress.com, por ejemplo, Imgur o Flickr.

Eso significa que, si una imagen estaba alojada en Imgur y luego, cuando la aplicación WordPress iOS intentaba obtener la imagen, enviaría un token de autorización de WordPress.com a Imgur, dejando una copia del token en los registros de acceso de la web de Imgur. servidor.

Debe tenerse en cuenta que la aplicación WordPress para dispositivos Android y los sitios web de WordPress auto hospedados no se ven afectados por este problema.

aplicación wordpress ios

Automattic confirmó que la vulnerabilidad afecta a todas las versiones de la aplicación de WordPress para iOS lanzada desde los últimos dos años (enero de 2017) y fue reparada el mes pasado con el lanzamiento de la aplicación para iOS de WordPress versión 11.9.1.

Aunque la compañía no reveló con precisión cuántos usuarios o blogs se vieron afectados por el problema, sí confirmó que no hay indicios de que se hayan utilizado tokens de acceso filtrado para acceder de manera no autorizada a cualquier cuenta afectada.

“Nuestros ingenieros descubrieron este error en la aplicación iOS (Android no se vio afectado), y no tenemos ninguna indicación de que alguna vez haya sido explotado”, escribió el portavoz a The Hacker News.

Automattic también ha tomado la precaución de restablecer los tokens de acceso y enviar un mensaje de advertencia a todos los usuarios de iOS con blogs privados.

Dado que se trataba de tokens de autorización y no de las contraseñas expuestas debido a este error, no es necesario cambiar su contraseña.

Se recomienda a los propietarios de blogs que utilizan la aplicación WordPress en dispositivos iOS que actualicen su aplicación inmediatamente.


Comenta y comparte con nosotros en nuestra red social, Facebook .

Fuente: thehackernews

Vea También

China exige pasar un reconocimiento facial para contratar el teléfono

Anunciado anteriormente por el Ministerio de Industria y Tecnología de la Información de China, desde …

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.