BuddyPress 7.2.1 est disponible. Il s’agit d’une version de sécurité et l’équipe de développement de BuddyPress vous recommande fortement de mettre à jour votre version de l’extension dans les meilleurs délais.
La version 7.2.1 corrige cinq vulnérabilités signalées de manière privée à l’équipe de développement de BuddyPress, en accord avec la politique de sécurité de WordPress (en). L’équipe de développement de BuddyPress remercie chaleureusement Kien Hoang d’avoir respecté cette politique et d’avoir fait preuve de patience pendant que l’équipe travaillait sur la résolution de ces vulnérabilités.
- Une vulnérabilité affectant le point d’accès terminal
buddypress/v1/members/me
de l’API REST de BuddyPress qui pouvait permettre l’élévation de privilèges d’un utilisateur régulier à ceux d’un administrateur a été résolue. - Une vulnérabilité affectant le point d’accès terminal
buddypress/v1/friends
de l’API REST de BuddyPress qui pouvait permettre à un membre de forcer la mise en place d’une relation « d’amitié » à l’insu d’un autre membre a été corrigée. - Une vulnérabilité du point d’accès terminal
buddypress/v1/messages
de l’API REST de BuddyPress qui pouvait autoriser un membre à lire les messages d’une conversation privée à laquelle il n’était pas invité a été résolue. - Une vulnérabilité du point d’accès terminal
buddypress/v1/messages
de l’API REST de BuddyPress pouvait permettre à un membre d’en inviter un autre à rejoindre un groupe, bien qu’ils ne soient pas « amis », alors que le membre invité avait activé la restriction de ce type d’invitation à ses amis uniquement. C’est corrigé. - Une vulnérabilité liée à l’ajout, la modification ou la suppression d’un type de membre ou de groupe, depuis l’un des écrans d’administration correspondants et introduits lors de la version 7.0.0 de BuddyPress, par un utilisateur venant d’être rétrogradé du rôle d’administrateur a été résolue.
L’équipe de BuddyPress a également mené un audit complémentaire de tous les points d’accès terminaux de son API REST, ce qui a débouché sur :
- L’amélioration de toutes les méthodes gérant les permissions d’accès en systématisant la définition d’un objet d’erreur (
WP_Error
) comme valeur de retour par défaut. - La correction d’une anomalie permettant à tout membre de modifier leur propre type de membre (cette opération est normalement réservée aux Administrateurs).
- La résolution d’un comportement inadapté autorisant, à tort, à tout membre de pouvoir lister les membres d’un groupe privé.
Pour plus de détails, vous pouvez consulter la note de version (en).
Merci de mettre à niveau votre BuddyPress pour sa version 7.2.1 dés aujourd’hui depuis l’administration de votre WordPress, ou en la téléchargeant depuis le répertoire des extensions de WordPress.org.