نقص در برنامه تحت iOS وردپرس، Tokenهای دسترسی مخفی را برای سایت‌های شخص ثالث فاش می‌کند.

اگر شما یک وبلاگ خصوصی ساخته‌شده با WordPress.com دارید و از برنامه رسمی تحت iOS این شرکت برای ایجاد و یا ویرایش پست‌ها و صفحات خود استفاده می‌کنید، token احراز هویت مخفی برای حساب کاربری مدیر ممکن است به‌طور تصادفی برای وب‌سایت‌های شخص ثالث افشا شود.

وردپرس اخیراً یک آسیب‌پذیری با شدت بالا در برنامه iOS خود را کشف کرده است که ظاهراً tokenهای احراز هویت را برای کاربرانی که وبلاگ‌هایشان از تصاویر میزبانی‌شده در سایت‌های شخص ثالث استفاده می‌کنند، افشا می‌کند. سخنگوی Automattic توسط پست الکترونیک به The Hacker News این موضوع را تأیید کرده است.

این آسیب‌پذیری توسط تیم مهندسان وردپرس کشف شده است که در برنامه وردپرس تحت iOS قرار دارد و در روشی قرار دارد که این برنامه تصاویری را که توسط وبلاگ‌های خصوصی مورد استفاده قرار می‌گیرد، اما در خارج از WordPress.com میزبانی می‌شود، به‌عنوان‌مثال Imgur یا Flickr را fetch می‌کند.

این بدان معنی است که اگر یک تصویر در Imgur میزبانی شود، سپس زمانی که برنامه وردپرس تحت iOS قصد دارد تصویر را fetch کند، آن را در کنار یک مجوز WordPress.com به Imgur ارسال می‌کند و یک کپی از token در log های دسترسی وب سرور Imgur باقی می‌گذارد.

لازم به ذکر است که برنامه وردپرس برای دستگاه‌های اندرویدی و وب‌سایت‌های وردپرسی که توسط خودشان میزبانی می‌شوند توسط این مسئله تحت تأثیر قرار نمی‌گیرد.

Automattic به Hacker News گفت که این آسیب‌پذیری روی تمام نسخه‌های برنامه وردپرس iOS که از دو سال گذشته (ژانویه ۲۰۱۷) منتشر شده‌اند تأثیر می‌گذارد و در ماه گذشته و با انتشار وردپرس iOS نسخه ۱۱٫۹٫۱ وصله شده است[۱].

اگرچه این شرکت دقیقه مشخص نکرده است که چگونه بسیاری از کاربران یا وبلاگ‌ها تحت تأثیر این مسئله قرار می‌گیرند، اما تأیید کرد که هیچ نشانه‌ای از اینکه token های دسترسی برای دسترسی غیرمجاز به هرگونه حساب کاربری آسیب‌دیده استفاده شده باشد، مشاهده نکرده است.

سخنگوی این شرکت به The Hacker News دراین‌باره گفت: “مهندسین ما این اشکال را در برنامه iOS کشف کردند (Android تحت تأثیر قرار نگرفته است)، و ما نشانه‌ای نداشتیم که این اشکال تاکنون مورد بهره‌برداری قرار گرفته باشد.»

Automattic همچنین گام مقدماتی را برای reset کردن tokenهای دسترسی و ارسال یک پیام هشدار برای همه کاربران iOS با وبلاگ‌های خصوصی برداشته است.

ازآنجاکه این‌ها token های احراز هویت بودند و نه کلمات عبور، که در اثر این اشکال تحت تأثیر قرارگرفته‌اند، نیازی به تغییر کلمه عبور توسط شما نیست.

به صاحبان وبلاگ که از برنامه وردپرس در iOS استفاده می‌کنند، توصیه می‌شود بلافاصله برنامه خود را به‌روزرسانی کنند.

منابع

[۱] https://itunes.apple.com/in/app/wordpress/id335703880

[۲] https://thehackernews.com/2019/04/wordpress-ios-security.html