BuddyPress 7.3.0 est disponible. Il s’agit d’une version de maintenance et de sécurité. L’équipe de développement de BuddyPress vous recommande fortement de mettre à jour les sites sur lesquels vous avez installé l’extension dés que possible.
La version 7.3.0 corrige les vulnérabilités suivantes :
- correction de la vulnérabilité d’un des points de terminaison de la REST API de BuddyPress qui pouvait permettre à un membre de créer un groupe au nom d’un autre membre.
- correction de la vulnérabilité d’un des points de terminaison de la REST API de BuddyPress qui pouvait autoriser tout membre à mettre en favoris des activités privées ou masquées.
- correction de la vulnérabilité d’un des points de terminaison de la REST API de BuddyPress qui permettait au créateur d’un groupe, retrogradé en tant que membre, de modifier ou supprimer le groupe.
- correction de la vulnérabilité d’un des points de terminaison de la REST API de BuddyPress qui autorisait un membre banni d’un groupe à le quitter avant de le rejoindre à nouveau.
Ces vulnérabilités ont été signalées de manière privée à l’équipe de développement de BuddyPress par Kien Hoang, en accord avec la politique de sécurité de WordPress (en). L’équipe de développement de BuddyPress remercie le rapporteur d’avoir pratiqué une divulgation coordonnée.
La version 7.3.0 intègre également la correction d’une anomalie relative à sa commande WP CLI scaffold
.
Pour plus de détails, vous pouvez consulter cette note de version (en).
Merci de mettre à niveau votre BuddyPress pour sa version 7.3.0 dés aujourd’hui depuis l’administration de votre WordPress, ou en la téléchargeant depuis le répertoire des extensions de WordPress.org.