來源:超時(shí)代軟件 更新時(shí)間:2019年04月04日 18:42:06
如果你有一個(gè)“私人”博客,使用WordPress.com其官方iOS應(yīng)用程序創(chuàng)建或編輯文章,管理員帳戶的秘密身份驗(yàn)證命令可能會(huì)不小心泄露給第三 方網(wǎng)站。
WordPress最近修補(bǔ)了嚴(yán)重漏洞的iOS應(yīng)用程序,Automattic確認(rèn)黑客新聞發(fā)言人在一封電子郵件上泄露秘密授權(quán)命令為用戶在第三方網(wǎng)站的博客 使用圖片托管。
WordPress團(tuán)隊(duì)的工程師發(fā)現(xiàn),產(chǎn)生漏洞的關(guān)鍵在WordPress iOS應(yīng)用程序使用私人博客獲取圖像的方式,但托管在WordPress.com之外,例 如,Imgur或Flickr。
這意味著,如果一個(gè)圖像是托管在Imgur然后當(dāng)WordPress iOS應(yīng)用程序試圖獲取圖像時(shí)它將發(fā)送一個(gè)WordPress.com授權(quán)命令I(lǐng)mgur,離開副本的命 令I(lǐng)mgur web服務(wù)器的訪問日志。
應(yīng)該注意的是,Android設(shè)備的WordPress應(yīng)用和自托管WordPress網(wǎng)站不受這個(gè)問題的影響。
Automattic黑客新聞證實(shí),脆弱性影響所有版本的WordPress自去年發(fā)布的iOS應(yīng)用(2017年1月)和上月打補(bǔ)丁發(fā)布的WordPress iOS應(yīng)用程序 11.9.1版本。
雖然該公司沒有透露準(zhǔn)確有多少用戶或博客受到此次漏洞事件的影響,并確認(rèn)沒有訪問命令用于未經(jīng)授權(quán)訪問的賬戶有數(shù)據(jù)泄漏的跡象。
“工程師還發(fā)現(xiàn)這個(gè)bug的iOS應(yīng)用程序(Android沒有影響)我們沒有跡象表明這是強(qiáng)制性的”該發(fā)言人寫道。
將其也采取了預(yù)防性措施重新設(shè)置訪問命令和一個(gè)警告消息發(fā)送給所有iOS用戶與私人博客。
這是自授權(quán)命令,而不是由于這個(gè)bug暴露的密碼,所以沒有必要改變你的密碼。
博客主在iOS設(shè)備上使用WordPress應(yīng)用建議立即更新他們的應(yīng)用程序。