Bug Aplikasi iOS WordPress Bocor Token Akses Rahasia ke Situs Pihak Ketiga - Otak Kita

Bug Aplikasi iOS WordPress Bocor Token Akses Rahasia ke Situs Pihak Ketiga


OtakKita - Jika Anda memiliki blog "pribadi" dengan WordPress.com dan menggunakan aplikasi iOS resminya untuk membuat atau mengedit posting dan halaman, token autentikasi rahasia untuk akun admin Anda mungkin tidak sengaja bocor ke situs web pihak ketiga.

WordPress baru-baru ini menambal kerentanan parah dalam aplikasi iOS-nya yang tampaknya membocorkan token otorisasi rahasia untuk pengguna yang blognya menggunakan gambar yang di-host di situs pihak ketiga, juru bicara Automattic mengkonfirmasi The Hacker News dalam email.

Ditemukan oleh tim insinyur WordPress, kerentanan berada dalam cara aplikasi WordPress iOS mengambil gambar yang digunakan oleh blog pribadi tetapi dihosting di luar WordPress.com, misalnya, Imgur atau Flickr.

Itu berarti, jika sebuah gambar di-host di Imgur dan kemudian ketika aplikasi WordPress iOS mencoba untuk mengambil gambar, itu akan mengirimkan token otorisasi WordPress.com ke Imgur, meninggalkan salinan token di log akses di web Imgur server.

Perlu dicatat bahwa aplikasi WordPress untuk perangkat Android dan situs web WordPress yang di-host-sendiri tidak terpengaruh oleh masalah ini.


Automattic mengkonfirmasi bahwa kerentanan mempengaruhi semua versi aplikasi WordPress iOS yang dirilis sejak dua tahun terakhir (Januari 2017) dan telah ditambal bulan lalu dengan rilis aplikasi WordPress iOS versi 11.9.1.

Meskipun perusahaan tidak mengungkapkan secara tepat berapa banyak pengguna atau blog yang terpengaruh oleh masalah ini, itu mengkonfirmasi bahwa tidak ada tanda token akses yang bocor yang digunakan untuk secara tidak sah mengakses akun yang terkena dampak.

    "Teknisi kami menemukan bug ini di aplikasi iOS (Android tidak terpengaruh), dan kami tidak punya indikasi itu pernah dieksploitasi," kata juru bicara itu kepada The Hacker News.


Automattic juga telah mengambil langkah pencegahan untuk mengatur ulang token akses dan mengirim pesan peringatan ke semua pengguna iOS dengan blog pribadi.

Karena itu adalah token otorisasi dan bukan kata sandi yang diekspos karena bug ini, tidak perlu mengubah kata sandi Anda.

Pemilik blog yang menggunakan aplikasi WordPress di perangkat iOS disarankan untuk segera memperbarui aplikasi mereka.

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel