Release Notes

Zoom Window Out
Larger Text | Smaller Text
Hide Page Header
Show Expanding Text
Printable Version
Save Permalink URL

Configuration

Corrección de vulnerabilidades

Vulnerabilidades generales

▪Se ha bloqueado la inclusión de archivos PHP arbitrarios, enviados vía upload para la carpeta de archivos temporales de la aplicación, como si fueran archivos válidos del sistema. En otras palabras, se ha corregido una vulnerabilidad de Local File Inclusion que podría llevar a Remote Code Execution de códigos PHP.

▪Se ha corregido la vulnerabilidad "CSV Formula Injection" en la exportación para Excel de las pantallas de consulta.

▪Mejoras con base en buenas prácticas de seguridad (seguridad por oscuridad).

▪Se ha quitado el source map de códigos Javascript, que hacían más fácil la comprensión de la lógica del frontend de la aplicación.

▪Se ha ofuscado el código Javascript de la pantalla de login para hacer aún más difícil la comprensión de la lógica del frontend en esta pantalla, puesto que ella es pública (posibilidad de ser accedida por un usuario no autenticado) y contiene lógicas sensibles, como para recuperación de contraseña del usuario.

▪Se han renombrado las funciones Javascript que exponían el nombre de las tecnologías del backend para hacer más difícil descubrir cuáles tecnologías son utilizadas en la aplicación y cuáles recursos utilizan una determinada tecnología.

Mejora en el contraste del texto en los campos deshabilitados

En algunas tablas, el texto de los campos deshabilitados tenía un tono de gris inadecuado, pues resultaba en bajo contraste y dificultaba la lectura del contenido.

A partir de esta versión, cambiamos ese color para un tono más oscuro, aumentando el contraste y la legibilidad del texto en los campos deshabilitados.

Se ha ocultado la antigua opción de la confirmación de validación de contraseña

El nuevo parámetro para "Solicitar validación de contraseña del usuario al realizar operaciones críticas en el sistema" fue creado en la versión 2.1.3 para sustituir el parámetro antiguo, que solo exigía la confirmación de validación de contraseña para abrir la pantalla de las tareas, pero ambas opciones siguieron disponibles desde entonces, para que hubiera tiempo hábil para la adaptación de quién estaba migrando de la opción antigua a la nueva.

Este tiempo de adaptación ha pasado, y ahora el objetivo es hacer la opción antigua obsoleta; por eso, a partir de esta versión, ella solo permanecerá disponible en los entornos en que ya esté habilitada. De lo contrario, solo la nueva opción se mostrará, y ya no será permitido habilitar la opción antigua.

En un futuro próximo, la opción antigua se descontinuará totalmente y dejará de funcionar; por eso, si alguien aún la utiliza, se recomienda que empiece a planear la migración a la nueva opción creada en la versión 2.1.3.

Autenticación oAuth en el servidor de e-mail SMTP

Para estar en conformidad con los servidores SMTP del mercado y proporcionar más seguridad en las conexiones, está disponible el método de autenticación oAuth en el registro de los servidores de e-mail.

Actualización del servicio de indexación - ElasticSearch

Con vistas a la mejora constante del servicio de búsqueda, estamos actualizando el servicio de indexación ElasticSearch para la versión 7.10.

Esta versión trae algunas mejoras de desempeño y una solución para algunos archivos que ocasionalmente generaban error cuando se indexaban.

Evitar problemas de desbordamiento de bytes por línea en las entidades dinámicas

Se ha realizado una mejora para reducir la cantidad máxima de atributos y referencias, con el objetivo de evitar problemas de desbordamiento de bytes por línea en las entidades dinámicas.

Desactivación de usuarios genéricos

Por razones de seguridad, algunos usuarios con logins genéricos y que usaban palabras reservadas fueron deshabilitados y tuvieron su habilitación bloqueada.

En versiones anteriores, ya habíamos bloqueado la creación de dichos usuarios. Ejemplos de usuarios bloqueados: softexpert, sesuite.