Sicherheitslücke und neue yForm-Version
In REDAXO 5.6.2 wurde eine kritische Sicherheitslücke (SQL-Injection) entdeckt, und zwar in der rex_list-Klasse. Gefährdet war das Backend und das Frontend nur dann, wenn dort auch rex_list verwendet wurde.
Betroffen sind alle REDAXO Versionen <= 5.6.2
Dennoch solltet Ihr umgehend das Update auf REDAXO 5.6.3 installieren!
Gemeldet wurde die Sicherheitslücke von @Balis0ng, ADLab of VenusTech.
Vielen Dank für das Finden der Schwachstelle und für die direkte Meldung an uns!
Die neue REDAXO Version wurde keine drei Stunden (Danke an Markus Staab) später veröffentlicht!
Solltest Du eine Sicherheitslücke finden, freuen wir uns über eine E-Mail an info@redaxo.org.
Neue Beta-Version von yForm
Die neue Version des Tabellen-AddOns (noch Beta) wartet mit einer Vielzahl von Korrekturen und Neuereungen auf, z.B.:
- be_relations: 1-n Verknüpfungen nun über inline Modul möglich, inkl. Sortierung und überprüfung der verknüpften Formulare
- Felder geben nun den Datenbankfeldtyp fest vor. Felder werden auch nachträglich optional an das Datenbankfeld angepasst.
- utf8mb4 ist nun standard und wird erzwungen, wie auch von Varchar(255) -> varchar(191)
- Das neue Choice-Feld ersetzt Radio, Radio_sql, Select, Select_sql, Checkbox_sql
- Das Popup-Fenster schließt nun nicht mehr direkt bei Mehrfachselect
- Neues number-Feld, mit Maßeinheit und richtigem DB-Feldtyp
- Doku wurde aktualisiert
- Übersetzungen ergänzt
Die vollständige Liste findet Ihr in der yForm-Redame-Datei:
https://github.com/yakamara/redaxo_yform