WordPress
ha solucionado recientemente una grave vulnerabilidad en su aplicación para iOS
que, aparentemente, filtró tokens de autorización de los usuarios cuyos blogs
usaban imágenes alojadas en sitios de terceros.
Detalle de vulnerabilidades
El fallo,
descubierto por el equipo de ingenieros de WP, residía en la forma en que la
aplicación de WordPress para iOS estaba obteniendo las imágenes de blogs
privados (Imgur, Flickr, etc.).
Eso
significa que, si una imagen estaba alojada en algún blog que no pertenecía a
WordPress, cuando la aplicación de iOS intentaba obtener la imagen, enviaba un
token de autorización de WordPress.com al blog concreto, dejando una copia del
mismo en los registros de acceso del servidor.
Curiosamente,
la aplicación para dispositivos Android y los sitios web de WordPress auto
hospedados no se ven afectados por este fallo.
Recursos afectados
Según
Auttomatic, la vulnerabilidad afecta a todas las versiones de la aplicación de
WordPress para iOS lanzada en los últimos dos años y fue parcheada el mes
pasado con el lanzamiento de la versión 11.9.1.
Aunque la
empresa no reveló con precisión cuantos usuarios o blogs se vieron afectados
por el problema, si confirmó que no hay indicios de que haya habido una
explotación malintencionada del fallo.
Además, la
compañía ha tomado la precaución de restablecer los tokens de acceso y enviar
un mensaje de advertencia a todos los usuarios de iOS con blogs privados.
Desde
Hispasec recomendamos a todos los propietarios de blogs que hagan uso de la
aplicación de WordPress para dispositivos iOS, que actualicen su aplicación
inmediatamente.
Más información
Fuente:
Hispasec