• Die Bibliothek tinymce wurde durch eine andere, neuere Bibliothek ersetzt.

Behobene Fehler

• Im HTML Editor wurden einige von extern kopierte Bilder nicht als Anlagen erkannt und erzeugten einen sehr großen Text.
• Die Schrift in Überschriften für Darstellungen mit dunklen Farben hatte nicht die richtige Farbe.

• Wenn der Produktlogin aktiviert ist und die Nutzer sich mit dem dort hinterlegten Benutzernamen und Passwort anmelden, können sie sich einen Reset-Link zusenden lassen, wenn sie ihr Passwort vergessen haben. Dazu ist es notwendig, dass der Nutzer eine E-Mail-Adresse angegeben hat und der E-Mail-Versand auf dem Server konfiguriert wurde.

Behobene Fehler

• Einige Aktionen des HTML-Editors in Dialogen ließen sich im Firefox Browser nicht bedienen.

Sicherheitskorrekturen

• Sicherheitsupdate für CVE-2023-45818
  • TinyMCE ist ein Open-Source-Rich-Text-Editor. Eine Mutations-Cross-Site-Scripting (mXSS)-Schwachstelle wurde in der zentralen Rückgängig- und Wiederherstellungsfunktion von TinyMCE entdeckt. Wenn ein sorgfältig erstelltes HTML-Snippet die XSS-Sanitization-Schicht passiert, wird es durch interne Trimming-Funktionen als String manipuliert, bevor es im Undo-Stack gespeichert wird. Wird das HTML-Snippet aus dem Undo-Stack wiederhergestellt, führt die Kombination aus String-Manipulation und reparativem Parsing entweder durch die browser-eigene DOMParser-API (TinyMCE 6) oder die SaxParser-API (TinyMCE 5) zu einer böswilligen Veränderung des HTML-Snippets, so dass eine XSS-Nutzlast ausgeführt werden kann. Diese Schwachstelle wurde in TinyMCE 5.10.8 und TinyMCE 6.7.1 behoben, indem sichergestellt wird, dass HTML durch Manipulation auf Knotenebene statt durch Stringmanipulation zugeschnitten wird. Benutzern wird empfohlen, ein Upgrade durchzuführen. Es gibt keine bekannten Umgehungsmöglichkeiten für diese Sicherheitslücke.
• Sicherheitsupdate für CVE-2023-CVE-2023-48219
  • TinyMCE ist ein Open-Source-Rich-Text-Editor. Eine Mutation Cross-Site Scripting (mXSS) Schwachstelle wurde in TinyMCE's Kern Undo/Redo Funktionalität und anderen APIs und Plugins entdeckt. Textknoten innerhalb bestimmter Eltern werden bei der Serialisierung nicht gemäß dem HTML-Standard escaped. Wenn solche Textknoten ein spezielles Zeichen enthalten, das als interne Markierung reserviert ist, können sie mit anderen HTML-Mustern kombiniert werden, um bösartige Snippets zu bilden. Diese Snippets passieren die anfängliche Bereinigungsschicht, wenn der Inhalt in den Körper des Editors geparst wird, können aber XSS auslösen, wenn die spezielle interne Markierung aus dem Inhalt entfernt und erneut geparst wird. Diese Schwachstelle wurde in den TinyMCE-Versionen 6.7.3 und 5.10.9 behoben. Benutzern wird empfohlen, ein Upgrade durchzuführen. Es gibt keine bekannten Umgehungsmöglichkeiten für diese Sicherheitslücke.

• Lupensymbol in der Suchleiste hinzugefügt, um die Sichtbarkeit der Suchfunktion zu erhöhen.
• In den Firmendaten-Dialog der Konfiguration kann eingestellt werden, wem der Hinweis zur Installation der Anwendung als PWA angezeigt wird. Gäste und weitere spezielle Benutzeraccounts bekommen den Hinweis niemals angezeigt.

• Die Suchleiste wurde aktualisiert und verwendet nun CodeMirror für eine bessere allgemeine Tastaturunterstützung

Sicherheitskorrekturen

• Aktualisierung der Bibliothek momentjs auf Version 2.29.4 aufgrund von CVE-2022-24785 und CVE-2022-31129
• Aktualisierung der Bibliothek tinymce auf Version 5.10.2, um die neuesten Fehlerbehebungen einzubeziehen

• Optimierung der Verbindungswiederherstellung vom Browser zum Server

• Dateidienstprüfung in den Temp-Ordner statt in das Arbeitsverzeichnis verschoben

Behobene Fehler

• Datenpufferlänge für Ajax- und Websocket-Anfragen korrigiert
• Korrigierte Timeout-Behandlung für Websocket-Verbindungen mit unterbrochenen VPN-Verbindungen