BuddyPress 5.2.0 est disponible. Il s’agit d’une version de maintenance et de sécurité. L’équipe de développement de BuddyPress vous recommande fortement de mettre à jour les sites pour lesquels vous avez installé l’extension dés que possible.

La version 5.2.0 corrige les vulnérabilités suivantes :

  • correction de l’anomalie d’un des points de terminaison de la REST API de BuddyPress qui pouvait permettre à un modérateur de groupe de contrôler l’appartenance des membres à ce groupe.
  • correction de l’anomalie des liens de suppression des champs de profil étendu dans l’interface d’administration de ces champs qui pouvait exposer à des attaques de type “injection de requête(s) illégitime(s) par rebond”.
  • correction de l’anomalie liée à la suppression d’activité(s) de groupe qui pouvait permettre à un membre du site ne disposant pas des droits d’administration de ce groupe de supprimer ses activités.
  • correction de l’anomalie liée à la gestion des e-mails de BuddyPress qui pouvait permettre à un auteur ou à un éditeur de modifier ces types de publication.

Ces vulnérabilités ont été signalée de manière privée à l’équipe de développement de BuddyPress par Kien Hoang, en accord avec la politique de sécurité de WordPress (en). L’équipe de développement de BuddyPress remercie le rapporteur d’avoir pratiqué une divulgation coordonnée.

La version 5.2.0 de corrige également 5 anomalies, dont des problèmes de compatibilités avec la version 5.4 de WordPress.

Pour plus de détails, vous pouvez consulter la note de version (en).

Merci de mettre à niveau votre BuddyPress pour sa version 5.2.0 dés aujourd’hui depuis l’administration de votre WordPress, ou en la téléchargeant depuis le répertoire des extensions de WordPress.org.