WordPress iOS ilovasida xavfli zaiflik tuzatildi.
Ushbu zaiflik uchinchi tomon veb-saytlariga avtorizatsiya tokenlarini taqdim etadi.
Mashhur WordPress.com blog platformasining egasi Automattic o’zining iOS ilovasidagi foydalanuvchi autentifikatsiya tokenlarini uchinchi tomon veb-saytlariga oshkor qilgan xavfli zaiflikni tuzatdi. Kompaniya shu hafta foydalanuvchilariga yuborgan elektron pochta xabariga ko’ra, muammo faqat tashqi saytlarda (masalan, Flickr) saqlangan va ilova orqali ko’rilgan rasmlarga ega shaxsiy veb-saytlarga ta’sir qiladi. Zaiflik foydalanuvchi nomlari va parollarga ta’sir qilmadi, faqat ilova tomonidan WordPress.com bilan aloqa qilish uchun ishlatiladigan xavfsizlik tokenlariga ta’sir qildi.
Boshqacha qilib aytganda, agar WordPress.com blog egasi iOS ilovasidan foydalangan holda boshqa saytdan rasmni o’z ichiga olgan post yaratgan yoki tahrirlagan bo’lsa, zaiflik ushbu saytning xato ravishda WordPress.com xavfsizlik tokenlarini olishiga sabab bo’lgan.
Automattic tuzatishni chiqargan bo’lsa-da, avtorizatsiya tokenlari endi turli saytlar va xizmatlarning server jurnallarida qayd etilishi va vijdonsiz operatorlar yoki egalar boshqa odamlarning tokenlaridan o’z manfaatlari uchun foydalanishlari mumkinligi xavf ostida qolmoqda. Tokenlar WordPress.com foydalanuvchilariga parolsiz kirish imkonini berganligi sababli, ularning oqib ketishi juda istalmagan.
Muammo o’z-o’zini boshqaradigan WordPress saytlariga ta’sir qilmaydi. Automattic zaiflik haqida qo’shimcha ma’lumot bermadi. Kompaniya bu muammodan qanday xabardor bo’lgani va ta’sirlangan foydalanuvchilar soni noma’lum.
