Zusammenfassung der Änderungen an BACKCLICK 5. Neueste Version zuerst.
Version 5.9.81 – Sicherheits-Härtung Medien-Import
- Sicherheit: Der Medien-Import kann keine internen Netzwerk- oder Metadaten-Adressen mehr ansprechen (Schutz vor Missbrauch als Proxy); echte Firmen-NAS-Ziele bleiben nutzbar.
- Sicherheit: Zugangs-Tokens verbundener Cloud-Speicher (Dropbox, Google Drive, OneDrive, Google Fotos) werden jetzt verschlüsselt gespeichert.
Version 5.9.80
- Neu: Die Versionsnummer in der Administrationsoberfläche (oben rechts) verlinkt jetzt direkt auf dieses öffentliche Changelog.
Version 5.9.79 – Neue Medienverwaltung & Medien-Import
- Neu – MediaExplorer: Die Bild- und Dateiverwaltung wurde komplett neu aufgebaut: Verzeichnisbaum, Vorschau, Kachel- und Listenansicht, Hochladen, Umbenennen, Verschieben, Kopieren und Löschen. Im Kampagnen-Editor lassen sich Bilder direkt einfügen und Dateien als Anhang übernehmen.
- Neu – Medien-Import: Bilder und Dateien lassen sich aus 14 Quellen importieren – u. a. freie Bilddatenbanken (Wikimedia, Openverse, Pixabay, Pexels, Unsplash), Museen/Archive (Met Museum, NASA, Art Institute of Chicago), die eigene Firmen-Cloud (WebDAV/Nextcloud) sowie Dropbox, Google Drive, OneDrive und Google Fotos. Lizenz- und Quellenangaben werden mitgeführt.
- Sicherheit: Die veraltete, nicht mehr gepflegte Medienverwaltungs-Komponente (AjaXplorer) wurde vollständig entfernt. Damit sind die im Sicherheits-Advisory SYSS-2022-027 beschriebenen Schwachstellen (Directory-Traversal, unbeschränkter Datei-Upload, Remote Code Execution) behoben. Uploads werden nur noch über eine Endungs-Freigabeliste angenommen; ausführbare Skripte sind ausgeschlossen.
- Verbessert: Die Administrationsoberfläche arbeitet zuverlässig hinter Reverse-Proxy/CDN (der Kampagnen-Editor lädt seine Registerkarten korrekt).
Version 5.9.78 – Stabilität & Codequalität
- Verbessert: 36 Robustheits- und Codequalitäts-Verbesserungen aus einem internen Review (Fehlerbehandlung, Ressourcen- und Zeichensatz-Härtung).
Version 5.9.77 – Sicherheits-Härtung
- Sicherheit: Härtung gegen Cross-Site-Scripting (XSS) und XML-External-Entity (XXE); strengere TLS-Zertifikatsprüfung bei ausgehenden Verbindungen; Dokumentation des CSRF-/Cookie-Verhaltens.
Version 5.9.76 – Sicherheits-Review Teil 1
- Sicherheit: Erste Runde Sicherheits-Korrekturen; Umstellung der Passwort-Speicherung auf ein modernes, gesalzenes Verfahren (PBKDF2).