Si tienes un blog «privado» en wordpress.com y utilizas la app oficial para iOS para crear o editar publicaciones y páginas, es posible que el token de autenticación secreto de cuenta de administrador se haya filtrado a sitios web de terceros.
WordPress solucionó recientemente una grave vulnerabilidad en su app para iOS que aparentemente filtró tokens de autorización secreta para los usuarios que utilizaban imágenes alojadas en sitios de terceros para sus blogs, según confirmó un portavoz de The Hacker News.
La vulnerabilidad descubierta por el equipo de ingenieros de WordPress, funcionaba con la forma en que la aplicación de WordPress para iOS obtenía las imágenes utilizadas por blogs privados pero alojadas fuera de WordPress.com, por ejemplo, Imgur o Flickr.
Eso significa que, si una imagen estaba alojada en Imgur y cuando la app intentaba obtener la imagen, enviaría un token de autorización de WordPress.com a Imgur, dejando una copia del token en los registros de acceso de la web de Imgur.
Cabe aclarar que la aplicación de WordPress para Android y sitios web de WordPress auto hospedados no se vieron afectados por este problema.
La vulnerabilidad afecta a todas las versiones de la aplicación de WordPress para iOS lanzada desde los últimos 2 años y fue reparada el mes pasado con el lanzamiento de la aplicación para iOS de WordPress versión 11.9.1.
Aunque la compañía no reveló con precisión cuántos usuarios o blogs se vieron afectados por el problema, confirmó que no existen indicios de que se hayan lanzado tokens de acceso filtrado para acceder de forma no autorizada a cualquier cuenta afectada.
«Nuestros ingenieros descubrieron este error en la aplicación iOS (Android no se vio afectado), y no tenemos ninguna indicación de que alguna vez haya sido explotado», escribió un portavoz a THN.
Automattic tomó la precaución de restablecer los tokens de acceso y enviar un mensaje de advertencia a todos los usuarios de iOS con blogs privados.
Debido a que se trataba de tokens de autorización y no de las contraseñas expuestas debido al error, no es necesario cambiar la contraseña.
Sin embargo, se recomienda a los administradores de blogs que utilizan la app de WordPress para iOS que actualicen la aplicación lo más pronto posible.
