Si tiene un blog «privado» con WordPress.com y está utilizando su aplicación iOS oficial para crear o editar publicaciones y páginas, es posible que el token de autenticación secreto de su cuenta de administrador se haya filtrado accidentalmente a sitios web de terceros.
WordPress recientemente corrigió una vulnerabilidad grave en su aplicación iOS que aparentemente filtró tokens de autorización secretos para usuarios cuyos blogs usaban imágenes alojadas en sitios de terceros, confirmó un portavoz de Automattic a The Hacker News en un correo electrónico.
Descubierta por el equipo de ingenieros de WordPress, la vulnerabilidad residía en la forma en que la aplicación iOS de WordPress obtenía imágenes utilizadas por blogs privados pero alojadas fuera de WordPress.com, por ejemplo, Imgur o Flickr.
Eso significa que, si una imagen estuviera alojada en Imgur y luego, cuando la aplicación iOS de WordPress intentara obtener la imagen, enviaría un token de autorización de WordPress.com a Imgur, dejando una copia del token en los registros de acceso de la web de Imgur. servidor.
Cabe señalar que la aplicación de WordPress para dispositivos Android y los sitios web de WordPress autohospedados no se ven afectados por este problema.
Automattic confirmó a The Hacker News que la vulnerabilidad afecta a todas las versiones de la aplicación WordPress para iOS lanzada desde los últimos dos años (enero de 2017) y se corrigió el mes pasado con el lanzamiento de la versión 11.9.1 de la aplicación WordPress para iOS.
Aunque la compañía no reveló con precisión cuántos usuarios o blogs se vieron afectados por el problema, sí confirmó que no ha habido señales de que se hayan utilizado tokens de acceso filtrados para acceder sin autorización a ninguna cuenta afectada.
«Nuestros ingenieros descubrieron este error en la aplicación iOS (Android no se vio afectado) y no tenemos indicios de que alguna vez haya sido explotado», escribió el portavoz a The Hacker News.
Automattic también tomó la medida de precaución de restablecer los tokens de acceso y enviar un mensaje de advertencia a todos los usuarios de iOS con blogs privados.
Dado que fueron los tokens de autorización y no las contraseñas las que quedaron expuestas debido a este error, no hay necesidad de cambiar su contraseña.
Se recomienda a los propietarios de blogs que usan la aplicación de WordPress en dispositivos iOS que actualicen su aplicación de inmediato.