Lỗi app WordPress iOS bị rò rỉ mã thông báo truy cập cho các trang web của bên thứ ba

Nếu bạn có blog “riêng tư” với WordPress.com và đang sử dụng ứng dụng iOS chính thức để tạo hoặc chỉnh sửa bài đăng và trang thì mã thông báo xác thực bí mật cho tài khoản quản trị viên của bạn có thể đã bị rò rỉ sang các trang web của bên thứ ba.

WordPress gần đây đã vá một lỗ hổng nghiêm trọng trong ứng dụng iOS của mình, lỗ hổng dường như đã rò rỉ mã thông báo ủy quyền bí mật cho người dùng có blog đang sử dụng hình ảnh được lưu trữ trên các trang web của bên thứ ba, người phát ngôn của Automattic đã xác nhận.

Được phát hiện bởi nhóm các kỹ sư WordPress, lỗ hổng này nằm ở cách ứng dụng WordPress iOS tìm nạp hình ảnh được sử dụng bởi các blog riêng tư nhưng được lưu trữ bên ngoài WordPress.com, ví dụ như Imgur hoặc Flickr.

Điều đó có nghĩa là, nếu một hình ảnh được lưu trữ trên Imgur và sau đó khi ứng dụng WordPress iOS cố gắng tìm nạp hình ảnh, nó sẽ gửi mã thông báo ủy quyền WordPress.com tới Imgur, để lại một bản sao của mã thông báo trong nhật ký truy cập của web của Imgur máy chủ.

Cần lưu ý rằng ứng dụng WordPress cho thiết bị Android và các trang web WordPress sử dụng hosting ngoài không bị ảnh hưởng bởi vấn đề này.


Automattic cũng đã xác nhận rằng lỗ hổng này ảnh hưởng đến tất cả các phiên bản của ứng dụng WordPress iOS được phát hành từ hai năm trước (tháng 1 năm 2017) và đã được vá vào tháng trước với việc phát hành 
ứng dụng WordPress iOS phiên bản 11.9.1.

Mặc dù công ty không tiết lộ chính xác có bao nhiêu người dùng hoặc blog bị ảnh hưởng bởi vấn đề này, nhưng nó đã xác nhận rằng không có dấu hiệu rò rỉ mã thông báo truy cập nào được sử dụng để truy cập trái phép bất kỳ tài khoản bị ảnh hưởng nào.

“Các kỹ sư của chúng tôi đã phát hiện ra lỗi này trong ứng dụng iOS (Android không bị ảnh hưởng) và chúng tôi không có dấu hiệu nào cho thấy nó đã bị khai thác”

Automattic cũng đã thực hiện bước phòng ngừa là đặt lại mã thông báo truy cập và gửi thông báo cảnh báo tới tất cả người dùng iOS sử dụng blog riêng.

Vì đó là mã thông báo ủy quyền và không phải mật khẩu bị lộ do lỗi này, nên không cần thay đổi mật khẩu của bạn.

Chủ sở hữu blog sử dụng ứng dụng WordPress trên thiết bị iOS được khuyến nghị cập nhật ứng dụng của họ ngay lập tức.

bình luận

Leave a Comment