环球门户网

前沿数码资讯:WordPressiOS应用泄露认证令牌

更新时间:2021-08-10 00:03:13

导读 科技、数码、互联网新闻如今都成为了大众所关注的热点了,因为在我们的生活当中如今已经是处处与这些相关了,不论是手机也好,电脑也好,

科技、数码、互联网新闻如今都成为了大众所关注的热点了,因为在我们的生活当中如今已经是处处与这些相关了,不论是手机也好,电脑也好,又或者是智能手表也好,与之都相关,那么今天小编也是为大家来推荐一篇关于互联网科技数码方向的文章,希望大家会喜欢哦。

WordPress.com博客平台背后的公司Automattic说,它修复了其官方iOS应用程序中的一个漏洞,该漏洞可能已将用户的帐户身份验证令牌暴露给第三方网站。

该公司在本周发给用户的一封电子邮件中表示:“这个问题创造了向第三方网站公开安全证书的可能性,只会影响到外部托管图像的私人网站(例如,使用类似flickr的服务)。”

它说:“我们已经解决了这个问题,并向AppStore发布了该应用的更新版本。”


Automattic说没有透露用户名和密码,但只有“应用程序用来与WordPress.com通信/认证的安全令牌”。

这意味着如果WordPress.com博客所有者使用iOS应用程序创建或编辑包含托管在另一个站点上的图像的博客文章,那么该站点可能会意外地收到WordPress.com安全令牌。

现在有一种危险,即WordPress.com身份验证令牌目前记录在各种网站和在线服务的服务器日志中,而且不道德的网站所有者或员工可能会在其Web服务器日志中查找这些令牌。

这些令牌的值是它们可以用于访问用户的WordPress.com帐户而不需要密码。然而,Automattic告诉ZDNet,这些令牌现在已经被撤销,使它们变得无用。

自托管WordPress网站不会受到影响,因为开放源码版本使用其独立的用户系统来授予用户访问其站点的权限,而不是WordPress.com帐户。

“我们的工程师在iOS应用程序中发现了这个漏洞(Android没有受到影响),我们没有迹象表明它曾经被利用过。第一个受影响的版本是在2017年1月发布的,版本11.9.1是在2019年3月15日发布的,”一位自动发言人告诉ZDNet。

这位发言人补充说:“我们用私人网站向所有WordPress.com iOS用户发送了一条消息,并重置了他们的令牌。”


 

版权声明:转载此文是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢您的支持与理解。