wordpress

Un bug découvert dans l’application WordPress sur iOS

Si vous avez un blog chez WordPress.com et que vous utilisez l’application sur iOS pour créer ou modifier des articles et des pages, le jeton d’authentification (token) de votre compte admin a peut être été accidentellement partagé avec des sites tiers.

WordPress a récemment patché une vulnérabilité dans son application iOS qui apparemment partageait les tokens des utilisateurs dont les blogs utilisaient des images hebergés sur des sites tiers.

Découverte par l’équipe d’ingénieur de WordPress, la vulnérabilité résidait dans la méthode utilisée par l’application iOS de WordPress de récupérer des images utilisées par un blog mais qui sont hébergées à l’extérieur de WordPress.com, par exemple, Imgur ou Flickr.

Cela signifie que, si une image était hébergée sur Imgur et que l’application essayait de récupérer l’image, cela enverrait le token d’authentification de WordPress.com vers Imgur, laissant donc une copie de votre token dans les logs d’accès des serveurs d’Imgur.

Il faut précisé que l’application sur Android et les sites WordPress qui ne sont pas hébergés chez WordPress.com ne sont pas affectés par ce problème.

wordpress ios app

Automattic a confirmé que la vulnérabilité affecte toutes les versions de l’application iOS qui sont sortis depuis Janvier 2017. Le patch a été appliqué à partit de la version 11.9.1.

La compagnie n’a pas révélé combien d’utilisateurs ou de blogs étaient affectés par ce problème mais ils ont confirmé qu’il n’y avait aucun signe indiquant que des tokens avaient été utilisé pour accéder à des comptes affectés.

Automattic a aussi réinitialiser les tokens d’authentification et a envoyé un message d’alerte aux utilisateurs de l’application sur iOS.

Vu que ce sont les jetons d’authentification (tokens) qui ont été exposé à cause de ce bug, vous n’avez pas besoin de changer votre mot de passe.

Il est évidemment recommandé de mettre à jour l’application immédiatement.

Laisser un commentaire