当前位置:首页 > 公司新闻

WordPress iOS应用程序漏洞将错误指令发送给第三方网站

来源:超时代软件     更新时间:2019年04月04日 18:42:06

  如果你有一个“私人”博客,使用WordPress.com其官方iOS应用程序创建或编辑文章,管理员帐户的秘密身份验证命令可能会不小心泄露给第三 方网站。
 

  WordPress最近修补了严重漏洞的iOS应用程序,Automattic确认黑客新闻发言人在一封电子邮件上泄露秘密授权命令为用户在第三方网站的博客 使用图片托管。
 

  WordPress团队的工程师发现,产生漏洞的关键在WordPress iOS应用程序使用私人博客获取图像的方式,但托管在WordPress.com之外,例 如,Imgur或Flickr。
 

  这意味着,如果一个图像是托管在Imgur然后当WordPress iOS应用程序试图获取图像时它将发送一个WordPress.com授权命令Imgur,离开副本的命 令Imgur web服务器的访问日志。
 

  应该注意的是,Android设备的WordPress应用和自托管WordPress网站不受这个问题的影响。
 

  Automattic黑客新闻证实,脆弱性影响所有版本的WordPress自去年发布的iOS应用(2017年1月)和上月打补丁发布的WordPress iOS应用程序 11.9.1版本。
 

  虽然该公司没有透露准确有多少用户或博客受到此次漏洞事件的影响,并确认没有访问命令用于未经授权访问的账户有数据泄漏的迹象。
 

  “工程师还发现这个bug的iOS应用程序(Android没有影响)我们没有迹象表明这是强制性的”该发言人写道。
 

  将其也采取了预防性措施重新设置访问命令和一个警告消息发送给所有iOS用户与私人博客。
 

  这是自授权命令,而不是由于这个bug暴露的密码,所以没有必要改变你的密码。
 

  博客主在iOS设备上使用WordPress应用建议立即更新他们的应用程序。
 

热门标签: