Redmine-TW

安全修復

所有三個版本（6.1.2、6.0.9 和 5.1.12）均包含以下安全修復：

• 缺陷 #43661：AttachmentsHelper 中不安全的 eval 使用

• 缺陷 #43690：檔案系統 SCM 中透過反斜線分隔路徑進行目錄遍歷

• 缺陷 #43691：@mention 自動完成中透過未轉義的使用者名稱進行的 DOM（儲存型）XSS 攻擊

• 缺陷 #43692：LDAP 注入（LDAP 搜尋過濾器中的未轉義輸入）

• 缺陷 #43694：DOM XSS：透過查詢過濾器產生中的自訂欄位名稱進行 HTML 注入

• 缺陷 #43830：僅允許查看自己時間條目的使用者可以透過 REST API 直接指定 TimeEntry ID 來檢索其他使用者的時間條目詳細信息

• 缺陷 #43864 / #43840：將 Nokogiri 更新至 1.18.9 (5.1.12) 或 1.19.1 (6.1.2 和 6.0.9)。

維護改進

Redmine 6.1.2 包含大量維護修復（共 30 項）。

• 針對 RTL 語言的一系列新修復

• SVG 圖示：主題開發者現在可以覆蓋預設圖示精靈，詳情請參閱 #43087

• recent_pages 巨集現在支援 include_subprojects 參數

下載和更新日誌

您可以在「下載」部分找到新版本。如需查看完整的變更列表，請查看每個版本的詳細 更新日誌。

非常感謝所有為這些版本做出貢獻的人，特別是那些負責任地報告安全問題的人（Sho Odagiri 和 kaminuma）。