По словам Джона Джеймса Джейкоби, ведущего разработчика BuddyPress, «Эта версия патчи уязвимость к BuddyPress основных вложений API, которые могли бы позволить произвольное удаление файлов на определенных конфигурациях установки».
Уязвимость была ответственно раскрыта Сэмом Пицци через программу hackerOne щедрость. Хотя Automattic в первую очередь использует услугу для своих собственных продуктов, они принимают отчеты для проектов с открытым исходным кодом, таких как WordPress и BuddyPress.
Бун ущелья и Пол Гиббс сотрудничална на исправление для всех пострадавших версий BuddyPress в то время как Стивен Эдгар и Дион помогли пакет релиза. Те, кто использует BuddyPress настоятельно рекомендуется обновить как можно скорее, чтобы защититься от этой уязвимости. Если вы столкнулись с какими-либо проблемами или нуждались в помощи, пожалуйста, создайте публикацию на форумах поддержки проекта.
Оригинал: wptavern.com
