首页 > 科技 > > 正文
2019-12-28 10:50:32

WordPress iOS应用泄漏了身份验证令牌

导读 WordPress com博客平台背后的公司Automattic表示,已修复了其官方iOS应用程序中的一个错误,该错误可能会使用户的帐户身份验证令牌暴露给第

WordPress.com博客平台背后的公司Automattic表示,已修复了其官方iOS应用程序中的一个错误,该错误可能会使用户的帐户身份验证令牌暴露给第三方网站。

该公司在一封电子邮件中说:“该问题可能会向第三方网站公开安全凭证,并且只会影响使用外部托管的图像(例如,使用Flickr之类的服务)并由应用查看或组成的私有网站。”它在本周发送给了用户。

它说:“我们已经解决了这个问题,并向App Store发布了该应用程序的更新版本。”

Automattic表示没有公开用户名和密码,只有“该应用程序用于与WordPress.com进行通信/验证的安全令牌”。

这意味着,如果WordPress.com博客所有者使用iOS应用创建或编辑包含另一个站点上托管的图像的博客帖子,则该站点可能偶然收到了WordPress.com安全令牌。

现在存在这样一种危险:WordPress.com身份验证令牌当前记录在各种网站和在线服务的服务器日志中,并且不道德的网站所有者或员工可能会在其Web服务器日志中寻找这些令牌。

这些令牌的价值在于,无需密码即可用于访问用户的WordPress.com帐户。但是,Automattic告诉ZDNet,这些令牌现在已被吊销,从而使它们无用。

自托管的WordPress网站不会受到影响,因为开放源代码版本使用其独立的用户系统来授予用户访问其网站的权限,而不是WordPress.com帐户的访问权限。

“我们的工程师在iOS应用中发现了此错误(Android未受影响),我们没有迹象表明已被利用。此漏洞的第一个版本于2017年1月发布,而11.9.1版于2019年3月15日发布,解决了该问题。 ”,Automattic发言人告诉ZDNet。

发言人补充说:“我们向所有拥有私人站点的WordPress.com iOS用户发送了一条消息,并重置了他们的令牌。”