Fix the missing error message

Check for disallowed BB codes in the content

Release 5.4.33

Add the EoL reminder

Release 5.4.32

Fix the check of the maximum image height

See https://www.woltlab.com/community/thread/301107-fehler-in-uploadformfield/

Release 5.4.31

Allow the news feed to open links in a new window

Release 5.4.30

Updating minified JavaScript files

Decrease the height of the news widget

Fix comma detection in Ui/ItemList/Static

This got broken during the TypeScript migration in c04fd6ce08b40262c660d38dbd491c37aed49a89.

see https://www.woltlab.com/community/thread/300812-itemlist-static-separierung-per-komma-funktioniert-nicht/

Migrate the ACP news from Twitter to woltlab.com

Release 5.4.29

Release 5.4.28

Drop the SameSite attribute from the XSRF-Token cookie to work around WebKit Bug 255524

It appears that Safari 16.4+ sometimes loses SameSite cookies without explicit
expiry when performing subrequests, e.g. to load JavaScript or when using
`fetch()`. The conditions apply to the XSRF-Token cookie. Now if one of the
subrequests hits the application, the application will hand out a fresh
XSRF-Token cookie, due to the cookie being missing. This results in spurious
changes of the XSRF-Token and thus error messages for the user.

According to comments in the WebKit Bug a workaround for the issue is not
providing a SameSite attribute at all and we leverage this workaround for the
time being: The SameSite attribute on the XSRF-Token cookie is a defense in
depth measure.

see https://bugs.webkit.org/show_bug.cgi?id=255524
see https://www.woltlab.com/community/thread/299769-fehlerhafter-xsrf-token/

(cherry picked from commit 832de3617df81b357430f8d99527dc34efd277a7)

Update to `actions/upload-artifact@v3` in wcfsetup.yml

This is required, because node.js 12 actions are deprecated.

Release 5.4.27

Merge branch '5.3' into 5.4

Release 5.3.28

Updating minified JavaScript files

Merge branch '5.3' into 5.4

Updating minified JavaScript files

Merge branch '5.3' into 5.4

Merge branch 'article-clipboard' into 5.3

Merge branch 'js-unescape-html' into 5.3

Fix `StringUtil.unescapeHTML()`

The HTML was unescaped in an incorrect order, causing incorrect results for
inputs like:

    StringUtil.unescapeHTML('"')

Do not allow setting an inaccessible category in ArticleAction::validateSetCategory()

Validate if an article may be edited in `setCategory` clipboard action

Merge branch '5.3' into 5.4

Update guzzlehttp/psr7

see guzzle/psr7@18fd8915823bd9ca4156e84849e18970057dc7e4

Release 5.4.26

Merge branch '5.3' into 5.4

Release 5.3.27

Updating minified JavaScript files

Merge branch '5.3' into 5.4

Merge branch 'edit-permissions' into 5.3

Check if the article is readable in Article::canEdit()

Previously an editor could access the contents of an inaccessible article by
directly navigating to the edit form.

Release 5.4.25

Merge branch '5.3' into 5.4

Release 5.3.26

Merge branch '5.3' into 5.4

Merge branch 'xss-activation' into 5.3

Merge branch '5.3' into 5.4

Remove questionable `@` in __singleMediaSelectionFormField.tpl

This looks like it is exploitable, because the value is not guaranteed to be an integer.

Fix XSS vulnerability in registerActivation.tpl

This was introduced in a477e3522933a7204b02013cd6b6d47d0db1d254 when the
activation logic was refactored to no longer use numeric-only activation codes.

Thanks to Chabik Hatim for responsibly reporting the vulnerability.

Merge pull request #5225 from WoltLab/supportexpiry-53

Notify users of the expiring support (5.3)

Notify users of the expiring support (5.3)

see #4574

Release 5.4.24

Merge branch '5.3' into 5.4

Release 5.3.25

Merge branch '5.3' into 5.4

Merge branch 'js-relocate-xss' into 5.3

Fix XSS vulnerability within the JavaScript relocator

If the relocation placeholder appeared multiple times within the source code,
it would also be replaced multiple times. This might allow an attacker to blow
up the HTML structure by including the placeholder within UGC.

Fix this issue by only ever replacing the last placeholder, which should be the
“real” one from footer.tpl. In the future this should be protected further by
including a random nonce to prevent this attack entirely.

Release 5.4.23

Merge pull request #5009 from WoltLab/attachment-csp

Add security headers to AttachmentPage

Prevent MIME sniffing for attachments

Configure a restrictive content-security-policy for attachments

Merge pull request #4995 from WoltLab/package-fix-installation

Fix handling of multi-step upgrades that need to happen in lock-step

Add assertion to PackageInstallationNodeBuilder::buildPluginNodes()

Fix handling of multi-step upgrades that need to happen in lock-step

Consider the following situation:

- Package com.example.foo is installed in version 1.0.0.
- Version 1.0.1 can be upgraded from 1.0.0.
- Version 1.0.2 can be upgraded from 1.0.1 and adds a dependency on
  com.woltlab.bar which is not yet installed.
- Version 1.0.3 can be upgraded from 1.0.2.

Now the PackageinstallationScheduler will build the following plan when it's
desired to upgrade com.woltlab.foo from 1.0.0 to 1.0.2:

- Upgrade com.woltlab.foo to 1.0.1
- Install com.woltlab.bar to satisfy the dependencies for 1.0.2
- Upgrade com.woltlab.foo to 1.0.2
- Upgrade com.woltlab.foo to 1.0.3

Now when build the nodes for this plan, the upgrade instructions for 1.0.2 will
not be detected, as the "previous package" logic used for iterative upgrades
will set the previous package of com.woltlab.foo in 1.0.2 to com.woltlab.bar.
Thus when upgrading to 1.0.2 the node builder will believe that com.woltlab.foo
is installed in 1.0.0 when it actually is already upgraded to 1.0.1.

Fix this by leveraging the $pendingPackages list which is already kept up to
date for dependency resolution.

Add safety check to PackageInstallationNodeBuilder to detect corrupted installation plans

Fix possible SMTP desync if a timeout strikes

see 9ae8a0e5da751e2abfcb00a621056c3a15ed009f

Explicitly handle `fgets()` returning `false` in SmtpEmailTransport

(cherry picked from commit a6ed0b255968e9ef44c6e37f7eb71fa4ad5256ea)

Merge pull request #4981 from WoltLab/smtp-transport-desync

Detect possible SMTP connection desync in SmtpEmailTransport

Detect possible SMTP connection desync in SmtpEmailTransport

see https://www.woltlab.com/community/thread/296850-smtp-probleme-nachdem-erste-mail-fehlschl%C3%A4gt/

Release 5.4.22

Unify “Datenbanktabelle” in de.xml

Fix typo in de.xml

see #4952

Improve character class definition in explanation for PIP identifiers

see #4952

Unify phrasing for PIP identifier explanations

see #4952

Improve phrasing in PIP identifier description

see #4952

Fix grammar in de.xml

Resolves #4952

Reported-by: Dennis Kraffczyk <github@dennis-kraffczyk.de>

Replace “Example” by “Beispiel” in de.xml

see #4952

Merge pull request #4921 from SoftCreatR/patch-2

Fix Facebook media provider

Fixed Facebook media provider

Usernames CAN contain periods, but they're currently not supported. There's also no need for a trailing slash.

Example: https://www.facebook.com/RaiPlay.it/videos/1059491774481091

Fix typo in de.xml

see e1fa341f67d936b14006a70962734504c1a165cd

Release 5.4.21

Merge pull request #4908 from WoltLab/upgrade-override-success

Add explicit “success” message to PackageEnableUpgradeOverrideForm

Improve wording for success message in PackageEnableUpgradeOverrideForm

Co-authored-by: Alexander Ebert <ebert@woltlab.com>

Add explicit “success” message to PackageEnableUpgradeOverrideForm

Updating minified JavaScript files

Update npm dependencies in extra/

Preserve the aspect ratio of scaled thumbnails

See https://www.woltlab.com/community/thread/296285-imageviewer-thumbnail-falsches-format/

Improve exception message in ImageUtil::createWebpVariant()

Stop flagging the new version 5.5 as “Evaluation”

See 9072d357de11116a15205073237498cab86dcd5c

Release 5.4.20

Enable the upgrade notice for 5.5 by default

See WoltLab/com.woltlab.website#602

Updating minified JavaScript files

Merge branch '5.3' into 5.4

Release 5.3.24

Merge branch '5.3' into 5.4

Merge pull request #4896 from WoltLab/abstract-category-edit-check-type

Verify that the category's objectType matches the form's objectType in AbstractCategoryEditForm

Merge pull request #4894 from WoltLab/abstract-category-edit

Make AbstractCategoryEditForm actually abstract

Merge pull request #4893 from WoltLab/tabmenu-select-invalid-container

Select the first erroneous tab in a form if multiple are erroneous

Improve type of exception for invalid object types in AbstractCategoryAddForm

This technically is a BC break, but this exception must not be caught anyway as
it indicates a clear programming error.

Make AbstractCategoryEditForm actually abstract

This form is not functional, unless an objectType is defined in a child class.

Handle invalid `<textarea>` elements when submitting a form within a TabMenu

Select the first erroneous tab in a form if multiple are erroneous

This was incorrectly migrated to TypeScript. Before TypeScript this used a
regular `for` loop counting indices, allowing the `return;` to correctly leave
the loop.

see https://www.woltlab.com/community/thread/296198-formbuilder-tabmenuformcontainer-required-js-fehler/

Add `DOM.Iterable` to tsconfig.json's `lib` list

This makes `NodeList`, `FormData` et al iterable. This is part of ES 2015 and
thus can be used.