REDAXO-Core 5.20.2 – 05.01.2026

Bugfixes

• rex_editor: in PHP 8.5 kam es teils zu Deprecated-Meldungen (@gharlan)
• EOL-Daten für PHP/MySQL/MariaDB aktualisiert (@gharlan)

backup 2.9.4 – 05.01.2026

Security

• Path Traversal beim Datei-Export verhindert (gemeldet von @lukasz-rybak) (@gharlan)

REDAXO-Core 5.20.1 – 25.11.2025

Security

• Sicherheitslücke in symfony/http-foundation durch Update behoben (@gharlan)

mediapool 2.17.1 – 25.11.2025

Security

• XSS war möglich via URL-Parameter für die Dateitypeinschränkung im Medienpool (gemeldet von @tehofu) (@gharlan)

REDAXO-Core 5.20.0 – 05.09.2025

Neu

• Setup: SSL-Datenbankverbindung kann konfiguriert werden (@skerbis, @gharlan)
• config.yml: Env-Variablen können genutzt werden über einen YAML-Tag !env (Beispiel: password: !env DB_PASSWORD) (@gharlan)
• rex_string: YAML-Decoding/Encoding untersützt YAML-Tags (@gharlan)

Bugfixes

• Session-Ablauf-Overlay
  • Erschien teilweise, obwohl die Session noch gar nicht abgelaufen war (@gharlan)
  • Button-Beschriftung korrigiert (@skerbis)
• rex_sql:
  • Neue Klasse Pdo\Mysql nutzen, wenn verfügbar (Vorbereitung für Deprecations in PHP 8.5) (@gharlan)
  • Fehlermeldung bei Verbindungsproblemen korrigiert (@staabm)
• Error-Handler wird bereits früher registriert und ist robuster bzgl. Fehler während der Generierung der Whoops-Seite (@gharlan)
• Textkorrekturen (@skerbis)

be_style 3.7.0 – 05.09.2025

• Login-Seite: Neues Hintergrundbild (@schuer, @gharlan)

install 2.13.1 – 05.09.2025

Bugfixes

• Wenn bei Addon-Updates Plugins gelöscht wurden, konnte es im Anschluss zu Fehlern kommen (teilweise erst später nach weiteren Aktionen) (@gharlan)
• Kommunikation mit redaxo.org ohne "www.", dadurch immer SSL-Zertifikat-Validierung (@gharlan)

media_manager 2.17.2 – 05.09.2025

Bugfixes

• Escaping des Mediatypnamens korrigiert (@gharlan)

mediapool 2.17.0 – 05.09.2025

Neu

• Erlaubte Mime-Types: vtt und srt ergänzt (@skerbis)

Bugfixes

• Update des SVG-Sanitizers inkl. Security-Fix (@gharlan)

phpmailer 2.16.0 – 05.09.2025

Neu

• Neue Archiv-Seite (@skerbis)

Bugfixes

• Umgang mit Fehlern bei den "MS Graph Credentials" optimiert (@tyrant88)

structure 2.19.0 – 05.09.2025

Neu

• Neue Berechtigung, um in der Linkmap alle Kategorien auswählen zu können (auch die, für die man ansonsten keine Rechte hat) (@skerbis)

Bugfixes

• Umwandlung Kategorie/Artikel (beide Richtungen): Priorität bei mehr als 100 Kategorien/Artikeln korrigiert (@gharlan)
• Version-Plugin: Nach Kopieren zwischen Live-/Arbeitsversion wurden die Slices der Quellversion ausgegeben (@gharlan)

REDAXO-Core 5.19.0 – 17.07.2025

Neu

• Session-Ablauf wird über Modal-Overlay angekündigt, mit Verlängerungsoption (@dergel, @tbaddade, @gharlan)
• Neue Commands user:list und user:delete (@crydotsnake, @gharlan)

Bugfixes

• Nach Umstellung auf PHP 8.4 gingen die Passwörter bei den Usern teils verloren, die gerade mit "Eingeloggt bleiben"-Option eingeloggt sind, oder die sich über einen Passkey einloggen (@gharlan)
• rex_form: Vorhanden data-confirm-Attribute bei Control-Elementen werden nicht mehr überschrieben (@gharlan)
• Command user:create wurden fälschlich auch im Setup-Modus angeboten, obwohl er erst danach funktioniert (@gharlan)

be_style 3.6.0 – 17.07.2025

• Login-Seite: Neues Hintergrundbild (@gharlan)

install 2.13.0 – 17.07.2025

Neu

• Kommunikation mit redaxo.org mit SSL-Zertifikat-Validierung (@skerbis)
• AddOn-Website-Link wird als externer Link markiert und in neuem Tab geöffnet (@crydotsnake)

mediapool 2.16.0 – 17.07.2025

Neu

• Paginierung für die Medien (über Property rows_per_page konfigurierbar) (@Hasan-Alherek)
• Erlaubte Mime-Types:
  • text/csv wird erlaubt (@skerbis)
  • Passwortgeschützte Excel/Word-Dateien werden erlaubt (@crydotsnake)

metainfo 2.11.3 – 17.07.2025

Bugfixes

• Nach Löschung eines Feldes wurden die Prioritäten nicht neu gesetzt (@skerbis)
• Escaping des Meta-Präfixes korrigiert (@gharlan)

phpmailer 2.15.0 – 17.07.2025

Neu

• Neuer Mailer-Typ Microsoft365, der über die "Microsoft Graph API" versendet (@tyrant88, @skerbis)

structure 2.18.0 – 17.07.2025

Neu

• Inhalte zwischen Sprachen kopieren: Optional können vorhandene Inhalte überschrieben werden (@omphteliba)

Bugfixes

• History-Plugin: History-Datenbankstruktur an Struktur der Originaltabelle rex_article_slice angepasst (@dergel)

REDAXO-Core 5.18.3 – 04.03.2025

Security

• API-Functions: Bei Nutzung von setRequiresReboot(true) war über den Result-Parameter in der URL Cross-Site-Scripting möglich (gemeldet von @0xadik) (@gharlan)

Bugfixes

• Console: Aufwärts-Kompatibilität zu neueren symfony/console-Versionen (@crydotsnake)
• Text-Optimierungen (@alxndr-w, @crydotsnake)

mediapool 2.15.3 – 04.03.2025

Security

• [BC-Break] Es ist nun default eine Liste mit erlaubten Dateiendungen und Mime-Types hinterlegt, um Probleme (z.B. XSS) mit unbekannten bzw. in der Blocklist nicht bedachten Dateitypen zu vermeiden (gemeldet von @0xadik) (@gharlan)
  • Die Default-Liste (siehe allowed_mime_types in der package.yml) kann z.B. im Project-Addon mittels rex_mediapool::setAllowedMimeTypes() ergänzt/überschrieben werden.
• Beim Austauschen existierender Dateien wurden die allowed_mime_types nicht beachtet (@gharlan)

cronjob 2.11.1 – 04.03.2025

Bugfixes

• Bei Cronjob-Klassen mit Namespaces bzw. Großbuchstaben konnten die Params in der Klasse nicht korrekt abgefragt werden (@gharlan)

media_manager 2.17.1 – 04.03.2025

Bugfixes

• Beim Nutzen der Mediapool-Services im Frontend wurde der Media-Manager-Cache nicht gelöscht und der Verwendungscheck hat nicht gegriffen (@marcohanke)

metainfo 2.11.2 – 04.03.2025

Bugfixes

• Wenn im Core-Setup die vorhandene Datenbank überschrieben wurde, kam es während des MetaInfo-Cleanups zum Fehler (@gharlan)

structure 2.17.4 – 04.03.2025

Bugfixes

• Wenn eine neue Sprache mit Prio=1 angelegt wird, wurden die Kategorien/Artikel nicht in die neue Sprache dupliziert (@gharlan)
• Beim Löschen von Sprachen aus dem Frontend heraus wurde die Artikel-Slice-Tabelle nicht aufgeräumt (@marcohanke)
• History-Plugin: Es wurden nur Snapshots erstellt, wenn Benutzer mit Rollback-Recht die Artikel bearbeitet haben, und nur im Backend (@marcohanke)
• Article/Category-Service: Es wurde nicht abgefangen, wenn die Zielkategorie nicht existiert (@dergel, @gharlan)

REDAXO-Core 5.18.2 – 10.02.2025

Bugfixes

• rex_sql_could_not_connect_exception: Es war nicht ersichtlich, für welche DB-Verbindung die Exception geworfen wurde (@danspringer)

structure 2.17.3 – 10.02.2025

Security

• Content-Page: Der Artikelname wurde in in der Überschrift nicht escaped (Stored XSS; gemeldet von @geo-chen) (@gharlan)

be_style 3.5.1 – 10.02.2025

• Update Font Awesome auf 6.7.2 (@alxndr-w)

mediapool 2.15.2 – 10.02.2025

Bugfixes

• SVG-Filterung optimiert durch neuen SVG-Sanitizer (@gharlan)
• Dateiendung-Blockierung korrigiert (.json wird nicht mehr gesperrt aufgrund der .js-Sperre) (@omphteliba)

REDAXO-Core 5.18.1 – 06.12.2024

Bugfixes

• PHP 8.4: Deprecated-Notices entfernt (@gharlan)
• Bei Login über Passkey wurde der "letzte Login" und andere Daten nicht aktualisiert (@gharlan)
• Profil: Die Passwortänderung war nicht möglich bei Login über Passkey (@gharlan)
• EOL-Daten für PHP/MariaDB aktualisiert (@staabm, @gharlan)

mediapool 2.15.1 – 06.12.2024

Bugfixes

• SVG-Filterung (XSS-Schutz):
  • Konfiguration des AntiXSS-Scripts optimiert für besseren Erhalt der SVG-Inhalte (@ischfr)
  • Die Filterung kann optional über die Property sanitize_svgs deaktiviert werden (bei eigener Risikoeinschätzung) (@gharlan)

REDAXO-Core 5.18.0 – 22.10.2024

Neu

• dump: Unterstützung für Labels (dump(foo: $foo)) (@gharlan)
• rex_package: Neue Methode getLicense und ausgabe der Lizenz im Command package:list (@dergel)
• rex_var-Klassen können über register-Methode explizit registriert werden (@gharlan)
• Optimiertes Beenden der Response bei Nutzung von RESPONSE_SHUTDOWN (Code nach dem Senden der Response) (@gharlan)
• Optimierung Fehlermeldungen (@tyrant88, @gharlan)
• EOL-Daten für PHP/MySQL/MariaDB aktualisiert (@gharlan)

Bugfixes

• Passkey-Login funktionierte nicht, wenn zuvor ein Benutzername im Feld eingegeben wurde (@gharlan)
• Safari: Password-Toggle funktionierte nicht für generierte Passwörter (@gharlan)
• rex_string::highlight und Highlighting in rex_markdown für PHP 8.3 korrigiert (@gharlan)
• E_STRICT-Konstante nicht mehr nutzen (Vorbereitung für PHP 8.4) (@gharlan)

mediapool 2.15.0 – 22.10.2024

Security

• Weitere Extensions (insbesondere .html) werden geblockt, um XSS über diese Dateien zu verhindern (gemeldet von Valerii Voronin) (@skerbis)
• In SVG-Dateien wird beim Upload JS-Code entfernt, um XSS zu verhindern (gemeldet von Praison) (@gharlan)

be_style 3.5.0 – 22.10.2024

• Login-Seite: Neues Hintergrundbild (@dergel)
• Update Font Awesome auf 6.5.2 (@madiko)
• Neues Icon für Cronjob-Menüpunkt (@alxndr-w)

media_manager 2.17.0 – 22.10.2024

Neu

• Neuer EP MEDIA_MANAGER_INIT, der für jeden Aufruf getriggert wird (noch vor der Cache-Prüfung) (@gharlan)

phpmailer 2.14.0 – 22.10.2024

Neu

• Optimierung Error-Mails (bessere Vermeidung von Mehrfachversand, X-Mailer-Header für Identifizierung) (@skerbis)
• Neues Konfigurationsfeld für Return-Path (@tyrant88)
• Hilfe-Menüpunkt nach rechts versetzt (@alxndr-w)

structure 2.17.2 – 22.10.2024

Bugfixes

• rex_article_not_found_exception: Die aktuelle Artikel-ID wurde nicht auf den Fehlerartikel umgeschwenkt (@tyrant88)
• Artikelbearbeitung: Fehler vermeiden bei Benutzern mit limitierten Rechten (@gharlan)

REDAXO-Core 5.17.1 – 07.04.2024

Bugfixes

• Exception-Messages wurden teils an Nicht-Admins ausgegeben (@gharlan)
• rex_sql: In der Debug-Ausgabe wurden in der fullquery Integerwerte als Strings eingesetzt (@gharlan)

be_style 3.4.1 – 07.04.2024

• Alte Login-Hintergründe wurden beim Update nicht aus dem Root-Assets-Ordner entfernt (@gharlan)

debug 1.3.2 – 07.04.2024

Bugfixes

• Als erster Request erschien immer der Abruf der manifest.json (@gharlan)

structure 2.17.1 – 07.04.2024

Bugfixes

• Modulverwaltung: "Eingabe"-Feld wurde ohne Codemirror angezeigt (@skerbis)

REDAXO-Core 5.17.0 – 12.03.2024

Neu

• rex_get/rex_post etc.: Es kann ein Array mit möglichen Werten als Typ übergeben werden (@gharlan)
• rex_http_exception:
  • Bei 4xx-Fehlercode wird nur noch bei Debug-Mode oder Backend-Admin ins Systemlog geschrieben (@gharlan)
  • Verwendung an weiteren sinnvollen Stellen mit 4xx-Code (@gharlan)
• rex_log_file: Neue ::factory()-Methode, Nutzung von new rex_log_file ist deprecated (@dergel)
• rex_api_function: Neue Methode register um API-Functions explizit registrieren zu können (relevant bei Namespaces) (@gharlan)
• rex_form:
  • maxlength- und minlength-Attribute werden automatisch entsprechend des Validators gesetzt (@gharlan)
  • Neue Methode disableSpellcheckAndAutoCorrect um entsprechende Attribute zu setzen (@gharlan)
• Formularfelder: Validierungen und geeignete weitere Feldattribute ergänzt (@gharlan)
• HTML-Element <search> wird an geeigneten Stellen verwendet (@gharlan)
• Code-Optimierungen (@tbaddade, @gharlan)

Bugfixes

• Setup: Bei "Update der Datenbank" kam es bei Charset-Änderungen teils zum Fehler (@gharlan)
• rex_file: put und move funktionierten teilweise nicht, wenn mehrere Filesysteme/Mounts involviert sind (@dergel)
• rex_list: Der Page-Parameter wurde den Links nicht immer mitgegeben, sodass man nach Löschung z.B. auf der ersten Seite landete (@gharlan)
• rex_sql: In checkDbConnection wurde ein relevanter Fehlercode nicht berücksichtigt (@gharlan)
• Wenn nach Login das Passwort automatisch rehasht wurde, musste man sich danach erneut einloggen (@gharlan)
• Wenn nach DB-Import der aktuelle Benutzer nicht mehr existiert, kam es zum Fehler (statt nur zum Logout) (@gharlan)

be_style 3.4.0 – 12.03.2024

• Login-Seite: Neues Hintergrundbild (@gharlan)

media_manager 2.16.0 – 12.03.2024

Neu

• Paginierung auf 100 Elemente pro Seite erhöht (@gharlan)

metainfo 2.11.0 – 12.03.2024

Bugfixes

• Metainfo-Sidebar: Beim Status-Wechsel-Link wurde die aktuelle Sprache nicht mitgegeben (@gharlan)
• Nach DB-Import wurde die Cleanup-Routine nicht korrekt ausgeführt (@gharlan)

phpmailer 2.13.1 – 12.03.2024

• Code-Optimierung (@skerbis)

structure 2.17.0 – 12.03.2024

Bugfixes

• Der Templatename wurde in der Struktur ohne Escaping ausgegeben (@gharlan)
• Create/Update-Felder (Datum/Benutzer) wurden teils nicht korrekt gesetzt (@gharlan)
• rex_module::forKey: Im Objekt war der Key anschließend nicht gesetzt (@gharlan)