Vulnerabilidades generales ▪Se ha bloqueado la inclusión de archivos PHP arbitrarios, enviados vía upload para la carpeta de archivos temporales de la aplicación, como si fueran archivos válidos del sistema. En otras palabras, se ha corregido una vulnerabilidad de Local File Inclusion que podría llevar a Remote Code Execution de códigos PHP. ▪Se ha corregido la vulnerabilidad "CSV Formula Injection" en la exportación para Excel de las pantallas de consulta. ▪Mejoras con base en buenas prácticas de seguridad (seguridad por oscuridad). ▪Se ha quitado el source map de códigos Javascript, que hacían más fácil la comprensión de la lógica del frontend de la aplicación. ▪Se ha ofuscado el código Javascript de la pantalla de login para hacer aún más difícil la comprensión de la lógica del frontend en esta pantalla, puesto que ella es pública (posibilidad de ser accedida por un usuario no autenticado) y contiene lógicas sensibles, como para recuperación de contraseña del usuario. ▪Se han renombrado las funciones Javascript que exponían el nombre de las tecnologías del backend para hacer más difícil descubrir cuáles tecnologías son utilizadas en la aplicación y cuáles recursos utilizan una determinada tecnología. |
En algunas tablas, el texto de los campos deshabilitados tenía un tono de gris inadecuado, pues resultaba en bajo contraste y dificultaba la lectura del contenido.
A partir de esta versión, cambiamos ese color para un tono más oscuro, aumentando el contraste y la legibilidad del texto en los campos deshabilitados.
El nuevo parámetro para "Solicitar validación de contraseña del usuario al realizar operaciones críticas en el sistema" fue creado en la versión 2.1.3 para sustituir el parámetro antiguo, que solo exigía la confirmación de validación de contraseña para abrir la pantalla de las tareas, pero ambas opciones siguieron disponibles desde entonces, para que hubiera tiempo hábil para la adaptación de quién estaba migrando de la opción antigua a la nueva.
Este tiempo de adaptación ha pasado, y ahora el objetivo es hacer la opción antigua obsoleta; por eso, a partir de esta versión, ella solo permanecerá disponible en los entornos en que ya esté habilitada. De lo contrario, solo la nueva opción se mostrará, y ya no será permitido habilitar la opción antigua.
En un futuro próximo, la opción antigua se descontinuará totalmente y dejará de funcionar; por eso, si alguien aún la utiliza, se recomienda que empiece a planear la migración a la nueva opción creada en la versión 2.1.3.
Por razones de seguridad, algunos usuarios con logins genéricos y que usaban palabras reservadas fueron deshabilitados y tuvieron su habilitación bloqueada.
En versiones anteriores, ya habíamos bloqueado la creación de dichos usuarios. Ejemplos de usuarios bloqueados: softexpert, sesuite.
▪Oracle 12 (todas las versiones): 2.1.9 - Octubre 2022
▪Windows Server 2008 R2: 2.1.10 - Diciembre 2022
▪Windows Server 2012 (todas las versiones): Abril 2023
▪SQL Server 2012 (todas las versiones): Abril 2023
Consulte también las mejoras realizadas en este componente en versiones anteriores: