WordPress: un bug découvert dans l’application pour iOS

0

Si vous avez un blog chez WordPress.com et que vous utilisez l’application sur iOS pour créer ou modifier des articles et des pages, le jeton d’authentification (token) de votre compte admin a peut être été accidentellement partagé avec des sites tiers.

La compagnie a récemment patché une vulnérabilité dans son application iOS qui apparemment partageait les tokens des utilisateurs dont les blogs utilisaient des images hébergés sur des sites tiers.

wordpress code snippets

WordPress est un système de gestion de contenu (SGC ou content management system (CMS) en anglais) gratuit, libre et open-source. Ce logiciel écrit en PHP repose sur une base de données MySQL et est distribué par la fondation WordPress.org. Les fonctionnalités de WordPress lui permettent de créer et gérer différents types de sites Web : site vitrine, site de vente en ligne, site applicatif, blog, portfolio, site institutionnel, site d’enseignement…

Au 1er décembre 2020, WordPress est utilisé par 39,1 % des sites web dans le monde, ses concurrents directs sont à 3,1 % (Shopify), à 2,2 % (Joomla!) et à 1,6 % (Drupal) tandis que 38,7 % des sites n’utilisent pas de système de gestion de contenu.

Le site wordpress.com est une plateforme d’hébergement pour les sites WordPress, créée, hébergée et maintenue par la société Automattic. Avec un service de base gratuit, Automattic propose des extensions payantes afin d’apporter plus de fonctionnalités aux utilisateurs : offre personnel, offre premium et offre entreprise. Le service gratuit convient très bien à un utilisateur débutant et lui permet de créer rapidement son site Internet sans se soucier de la maintenance technique (sauvegardes, mises à jour, sécurité) qui est gérée par Automattic. En revanche, il y a plusieurs limitations : pas d’accès aux fichiers FTP du site, espace de stockage et personnalisation du design limités, publicité sur le site26.

Détails sur ce bug de sécurité de WordPress

Découverte par leur équipe d’ingénieur, la faille de sécurité résidait dans la méthode utilisée par l’application iOS de WordPress de récupérer des images utilisées par un blog mais qui sont hébergées à l’extérieur de WordPress.com, par exemple, Imgur ou Flickr.

Cela signifie que, si une image était hébergée sur Imgur et que l’application essayait de récupérer l’image, cela enverrait le token d’authentification de WordPress.com vers Imgur, laissant donc une copie de votre token dans les logs d’accès des serveurs d’Imgur.

Il faut préciser que l’application sur Android et les sites WordPress qui ne sont pas hébergés chez WordPress.com ne sont pas affectés par ce problème.

wordpress ios app

Automattic a confirmé que la faille de sécurité affecte toutes les versions de l’application iOS qui sont sorties depuis Janvier 2017. Le patch de sécurité a été appliqué à partir de la version 11.9.1 du logiciel.

La compagnie américaine n’a pas révélé combien d’utilisateurs ou de blogs étaient affectés par ce problème de sécurité mais ils ont confirmé qu’il n’y avait aucun signe indiquant que des tokens avaient été utilisés pour accéder à des comptes affectés.

wordpress

Automattic a aussi réinitialiser les tokens d’authentification et a envoyé un message d’alerte aux utilisateurs de l’application sur iOS.

Vu que ce sont les jetons d’authentification (tokens) qui ont été exposé à cause de ce bug de sécurité, vous n’avez pas besoin de changer votre mot de passe.

Il est évidemment recommandé de mettre à jour l’application le plus tôt possible pour éviter de se faire pirater.

Si cet article vous a plu, jetez un œil à la dernière vulnérabilité que nous avons reporté.

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.