O BuddyPress 1.7.3 já está disponível, pessoal.
Essa é uma atualização tanto de segurança quanto de manutenção. Todos que estiverem utilizando o BP a partir da versão BP 1.5, devem fazer a atualização para a nova versão imediatamente.
Veja as principais alterações da versão 1.7.3:
- Uma vulnerabilidade de script cross-site, de forma que mensagens de sucesso e erro eram armazenadas e depois exibidas;
- Um bug que fazia o envio indevido de cabeçalhos Set-Cookie, causando problemas em certa configurações de cache.
Todos os detalhes das alterações podem ser encontrados no log de mudanças da versão 1.7.3 (em inglês).
Uma agradecimento especial vai para Andrew Nacin por sua divulgação responsável do problema com XSS para a equipe de desenvolvedores do BuddyPress.
O ato do Andrew fica como lembrete para a comunidade: se vocês encontrarem problemas de segurança no BuddyPress, por favor, divulguem de forma adequada, enviando o problema diretamente para o time de desenvolvimento do plugin BuddyPress (ou para o e-mail security [at] wordpress.org).
Baixe agora o Buddypress 1.7.3 no Dashboard > Atualizações ou do repositório do BP no WordPress.