Download cmsmadesimple 2.2.2

Information

Information

Poursuivant notre engagement envers le code de qualité, nous annonçons la publication de 2.2.2 "Hearts Content", un communiqué de sécurité et de stabilité.

Cette version corrige ou bloque deux problèmes de sécurité très importants, corrige un certain nombre de bogues existant dans le système et améliore généralement la stabilité et la convivialité.

Quelques points importants à noter sont:
R: Les problèmes de sécurité résolus affectent toutes les versions précédentes de CMS Made Simple, pas seulement la série 2.x.

b: En raison des correctifs de sécurité, les spécifications de ressources Smarty avec des chemins ou des caractères génériques ne fonctionneront plus. Cela affectera quelques modules tiers, notamment JMFilePicker. Les responsables des modules affectés devraient pouvoir résoudre ce problème sans trop de difficultés. De plus, toutes les occurrences de balises {php} susceptibles de fonctionner dans les anciennes versions de CMSMS doivent maintenant échouer.

Lire la suite

c: Nous avons encore une fois modifié l'ordre de traitement du modèle, spécifiquement lié au prétraitement Mact. Maintenant, le prétraitement mact a lieu APRÈS la partie supérieure du modèle, mais avant la partie corps. Cela traite spécifiquement des problèmes avec les sites multi-lang. À partir de maintenant, l'ordre de traitement du modèle est le suivant:
        1. La partie supérieure du modèle de page
        2. mact-preprocesing (si activé) met en cache une action de module destinée au bloc {content}
        3. Le corps du modèle de page
        4. La partie principale du modèle de page.

d: corrige cms_selflink, les pages de contenu et diverses fonctions de l'API, de sorte que les alias de pages entièrement numériques ne sont pas valides. Cela évite de les confondre avec les identifiants de page numériques.
Lors de l'ajout ou de la modification d'une page, si l'alias de page obtenu est entièrement numérique (c'est-à-dire: 12345 ou 123-123), un caractère non numérique ("p") sera ajouté à l'alias. les alias tels que 123-foo ne sont pas entièrement numériques et sont donc valides.

e: Mise à niveau de MicroTiny pour utiliser TinyMce 4.6.x et ajout des plugins tabfocus et hr.

Comme d'habitude, une liste complète des éléments corrigés et modifiés est disponible dans le journal des modifications affiché lors du processus de mise à niveau et inclus dans la version.

Comme il s’agit d’une mise à jour de sécurité et de stabilité, nous encourageons tout le monde à mettre à jour leur site Web dès que possible.

Version 2.2.2 - Contenu Hearts
----------------------------------
Core - Général
- Amélioration supplémentaire de la sécurité dans CMSModule :: GetTemplateResource ().
- Smarty_CMS n'est plus dérivé de SmartyBC (utilise notre propre classe wrapper) qui empêche toutes les occurrences de balises {php} de s'exécuter.
- Ajoute un fichier .htaccess du répertoire d'administration pour désactiver explicitement la mise en cache du navigateur de toutes les ressources.
- Corrige une vulnérabilité de chemin relatif dans la ressource module_file_tpl.
- Corrige un problème de construction de chemin dans CmsModuleInfo.
- Correction de l'analyse et de la génération des fichiers moduleinfo.ini.
- Interdire toute spécification de ressource avec un * ou un /.
* Cela signifie également qu'aucune spécification de ressource de fichier avec information de chemin ne sera autorisée.
- Déplacez le prétraitement mact APRÈS que le template_top ait été traité. Donc, l'ordre de traitement (pour les actions du module sur le frontend est)
a: modèle en haut
pré-traitement b: mact (s'il est activé, ce qui est la valeur par défaut)
c: corps du template
d: tête de gabarit
- Correction de sureGetNodeByAlias pour vérifier si l'entrée est numérique. Si c'est le cas, supposons qu'il s'agisse d'un identifiant de page, pas d'un alias.
- Correction de la génération d'alias dans la classe ContentBase pour vérifier si le titre de la page d'entrée est numérique ... Si c'est le cas, ajoutez-y un caractère avant de faire en sorte que la conversion de nombre entier renvoie 0.
- Corrige les listtags pour afficher les tags en utilisant le préfixe de nom de fonction smarty_nocache_.
- Améliorations apportées au plugin {form_start}.
- Correction d'un vieux problème idiot dans la fonction recursive_delete.
- Nettoyez plus de paramètres de la balise content avant de passer à l'action du module.
- Correction de la vulnérabilité d'inclusion de fichier local dans les listtags.
- Appelez maintenant get_userid () dans debug_to_log au lieu de check_login ()

AdminSearch v1.0.3
- Recherchez maintenant dans le champ de métadonnées des pages de contenu.
- Correction de guillemets simples dans les résultats de recherche.

DesignManager v1.1.3
- Définir les balises d'attributs de titre pour modifier / créer un modèle, une feuille de style, un design.
- Supprimer les instructions de débogage.

MicroTiny v2.2
- Mettez à niveau tinymce vers la v4.6.x.
- Ajoute de nouveaux plugins tabfocus et hr.

News v2.51.2
- Corrections pour que tous les boutons d'annulation fonctionnent correctement sur les nouveaux articles.

Navigator v1.0.7
- Ajoute une méthode idiote __get () à la classe NavigatorNode en écrasant certaines notifications dans les journaux des erreurs.

ModuleManager v2.1.1
- Maintenant, le module distant Handlle installe les mises à niveau et s’active via un processus en 2 requêtes pour permettre aux nouvelles versions de modules d’être lues en mémoire.

Assistant d'installation v1.3.2
- Correction à l'avertissement des actifs

Recherche v1.51.2
- Maintenant, décodez une entité HTML sur tout le contenu ajouté à AddWords.

SCRIPT