來源:超時代軟件 更新時間:2019年04月04日 18:42:06
如果你有一個“私人”博客,使用WordPress.com其官方iOS應用程序創建或編輯文章,管理員帳戶的秘密身份驗證命令可能會不小心泄露給第三 方網站。
WordPress最近修補了嚴重漏洞的iOS應用程序,Automattic確認黑客新聞發言人在一封電子郵件上泄露秘密授權命令為用戶在第三方網站的博客 使用圖片托管。
WordPress團隊的工程師發現,產生漏洞的關鍵在WordPress iOS應用程序使用私人博客獲取圖像的方式,但托管在WordPress.com之外,例 如,Imgur或Flickr。
這意味著,如果一個圖像是托管在Imgur然后當WordPress iOS應用程序試圖獲取圖像時它將發送一個WordPress.com授權命令Imgur,離開副本的命 令Imgur web服務器的訪問日志。
應該注意的是,Android設備的WordPress應用和自托管WordPress網站不受這個問題的影響。
Automattic黑客新聞證實,脆弱性影響所有版本的WordPress自去年發布的iOS應用(2017年1月)和上月打補丁發布的WordPress iOS應用程序 11.9.1版本。
雖然該公司沒有透露準確有多少用戶或博客受到此次漏洞事件的影響,并確認沒有訪問命令用于未經授權訪問的賬戶有數據泄漏的跡象。
“工程師還發現這個bug的iOS應用程序(Android沒有影響)我們沒有跡象表明這是強制性的”該發言人寫道。
將其也采取了預防性措施重新設置訪問命令和一個警告消息發送給所有iOS用戶與私人博客。
這是自授權命令,而不是由于這個bug暴露的密碼,所以沒有必要改變你的密碼。
博客主在iOS設備上使用WordPress應用建議立即更新他們的應用程序。
一鍵拔號
咨詢客服
服務熱線