#28700 Sicherheitslücke bei Workflow-Übergängen - Unautorisierte Bearbeitung nach Task-Abschluss

Verbesserung

Wichtig

#28593

Baumselektions-Modell mit Teilbaum-Selektionslogik

#28695

Selektionsfilter für (Tree-)tables und -grids im Layout-Editor einstellen

#28704

Optimierter Zugriff auf Tabelle FLEX_DATA für manche DBs

Detail

#28613

"DefaultFor" Konfigurationsoption im "advanceProcess"-Template für BPE

#28679

Dynamische Labels für FormTableDefinition

#28705

Formlar-Dialoge bei Cancel schließen

#28712

Test kann einstellen ob Warnings zu Fehlschlag führen

Kleinigkeit

#28588

Option, Tabellen in Formularen als nicht selektierbar zu markieren

Fehlerbehebung

Wichtig

#28673

Sicherheitslücke in commons-beanutils (CVE-2025-48734)

#28675

Opening Excel-Scripts in Script Recorder fails when starting from command line

#28676

Absicherung von Kafka-Client-Konfiguration gegen SSRF und File-Reads (CVE-2025-27817)

#28684

DoS-Sicherheitslücke in Apache Commons FileUpload (CVE-2025-48976)

#28692

ClassCastException in der ActiveTaskComponent

#28700

Sicherheitslücke bei Workflow-Übergängen - Unautorisierte Bearbeitung nach Task-Abschluss

#28739

TL-Script Methode filterPermission darf nicht zur Compilezeit ausgewertet werden

Detail

#28331

Falsche Update-Typ-Erstellung in tUpdate führt zu ignorieren von Hidden-Attribut-Änderungen

#28617

Bug: Post-Create-Actions fehlen bei Prozess-Start ohne Prüfung

#28640

Mandatory Multiline Felder haben keinen blauen Strich

#28665

Berechnete Attribute werden bei Tabellenänderungen nicht aktualisiert

#28666

Fehlender DisplayContext nach BinaryDataSource-Conversion

#28667

Pipe closed Fehler beim Mail-Versand durch doppeltes Rendering von Inhalten ohne EncodingAware-Interface

#28671

ExcelWriter-Methoden fehlen

#28686

REST-Routing: Kürzere Pfade werden vor längeren Pfaden priorisiert und verursachen falsches Route-Matching

#28690

Anlegen in Währungsadministration hat falsche Kommandogruppe

#28698

Ausführbarkeitsregel wird auf gelöschtem Objekt geprüft

#28706

Formulartabellen überschreiten Container-Breite

#28707

Falsches Dirty-Handling im SelectTransitionDialog (BPE)

#28724

Selektionsfilter darf nicht auf gelöschten Objekten ausgewertet werden

#28726

Unique-Constraint-Violation bei mehrfacher Anwendung des MoveObjectsProcessor

Kleinigkeit

#28458

Falsche Abfrage, ob Komponente Multi-Selektion unterstützt

Fehlerbehebung

Wichtig

#28700

Sicherheitslücke bei Workflow-Übergängen - Unautorisierte Bearbeitung nach Task-Abschluss

Wenn ein Benutzer während des Bearbeitungsmodus einen Task abschließt und den Workflow weiterleitet, landet er automatisch wieder im Bearbeitungsmodus der ursprünglichen ActiveTaskComponent, obwohl er möglicherweise keine Bearbeitungsberechtigungen für den neuen Workflow-Status hat. Dies ermöglicht unautorisierte Bearbeitung in Workflow-Zuständen, in denen der Benutzer nur Lesezugriff haben sollte.

Lösung: Implementierung einer Berechtigungsprüfung nach Workflow-Übergang, die automatisch in den Ansichtsmodus wechselt, wenn der Benutzer keine Bearbeitungsberechtigungen für den neuen Status besitzt.