Actualización bbPress 2.5.4
Hace pocas horas que se publicó una nueva actualización bbPress 2.5.4 que soluciona varios bugs, entre ellos un problema de seguridad, por lo que es recomendable actualizar cuanto antes.
Según fuentes oficiales los encargados del proyecto bbPress han sido notificados por el investigador de seguridad Mazen Gamal Mesbah de una grave vulnerabilidad al mostrar le nombre de usuario. Este investigador ya descubrió diversos bugs en servicios tan populares como Yahoo, Mailchimp, Sony o Automattic.
Análisis de la vulnerabilidad solucionada por la actualización bbPress 2.5.4
En el propio bug track de bbPress explican detalladamente como se produce este bug. Cuando se accede o edita el perfil de algún usuario algunos datos no son sanitizados correctamente para ser mostrados.
Según los propios desarrolladores de bbPress, no se trata de un bug crítico pero si lo suficientemente importante como para lanzar una nueva actualización. En un principio se había pensado que los propios filtros de WordPress se encargaban de sanitizar correctamente los nombres de usuario pero resulto no ser así, ya que esto sólo se realiza cuando se trata de un usuario administrador.
Para solucionar el problema se han modificado dos funciones en bbPress: bbp_displayed_user_field()
y bbp_get_displayed_user_field()
.
A parte de este problema de seguridad también se solucionan otros 5 bugs leves en bbPress por lo que la actualización es aun más recomendable.
En definitiva, si tienes un blog WordPress con un foro bbPress deberías actualizar cuanto antes porque la actualización 2.5.4 de bbPress soluciona una vulnerabilidad de seguridad bastante grave.