Release 5.3.25

Merge branch 'js-relocate-xss' into 5.3

Fix XSS vulnerability within the JavaScript relocator

If the relocation placeholder appeared multiple times within the source code,
it would also be replaced multiple times. This might allow an attacker to blow
up the HTML structure by including the placeholder within UGC.

Fix this issue by only ever replacing the last placeholder, which should be the
“real” one from footer.tpl. In the future this should be protected further by
including a random nonce to prevent this attack entirely.

Release 5.3.24

Merge pull request #4896 from WoltLab/abstract-category-edit-check-type

Verify that the category's objectType matches the form's objectType in AbstractCategoryEditForm

Verify that the category's objectType matches the form's objectType in AbstractCategoryEditForm

Update Guzzle

see guzzle/guzzle@a52f0440530b54fa079ce76e8c5d196a42cad981

Update guzzlehttp/psr7

This is a dependency for an updated Guzzle.

see guzzle/psr7@e98e3e6d4f86621a9b75f623996e6bbdeb4b9318
see guzzle/guzzle@a52f0440530b54fa079ce76e8c5d196a42cad981

Regenerate composer files

Update Guzzle

see guzzle/guzzle@724562fa861e21a4071c652c8a159934e4f05592

Release 5.3.23

Merge branch '5.2' into 5.3

Release 5.2.21

Merge branch '3.1' into 5.2

Release 3.1.29

Merge branch '5.2' into 5.3

Adjust PHP versions in environment check for 5.2

see 598b72301a2cdcd0f3a0c1196f6fc1107e01650e

Merge branch '3.1' into 5.2

Merge pull request #4840 from WoltLab/system-environment-check

Add basic check for the runtime environment

Add basic check for the runtime environment

Running WoltLab Suite in an unsupported environment might work for the
majority of requests, some requests might fail very visibly. But there
also is a third type: A request that *appear* to execute properly, but
that subtly behaves incorrectly, due to a change in PHP's behavior.

The latter type is dangerous, as those requests might introduce errors
into the dataset that are very hard to impossible to correct after the
fact because the necessary information to fix up the data is no longer
available.

Prevent this situation from occuring by performing a basic test of the
runtime environment and halting processing early if this test fails to
ensure that it processed as little as possible.

Enable HTML escaping of `->errorMessage` in packageUpdateServerList.tpl

This is not exploitable for a full-blown XSS attack, as any HTML tags are
stripped. Nonetheless the `"` character can cause issues, as the value is also
displayed in an HTML attribute and the error message contains uncontrolled
content.

Update Guzzle

see guzzle/guzzle@f092dd734083473658de3ee4bef093ed77d2689c

Regenerate composer autoloader

Add the `required` attribute to the recipientID select in contact.tpl

see a8490749c3ba7014380d55462fc45dd635c1d71c

Indicate that selecting a recipient is required in contact.tpl

Merge branch '5.2' into 5.3

Revert "Show always an no selection option in custom select options build with the OptionHandler"

This reverts commit 6fef8b82e15794eee5317e6b15bb0670f137315c.

Release 5.3.22

Merge pull request #4706 from WoltLab/guzzle-psr7-backport

Update guzzlehttp/psr7 to a custom fork

Update guzzlehttp/psr7 to a custom fork

see WoltLab/guzzle-psr7@ff7be9fcf7da87f971990b1a61d8a7f2b5aeac9b
see WoltLab/guzzle-psr7@986596de01529f6e837a5cadfef9ec714ace7914

Release 5.3.21

Merge branch '5.2' into 5.3

Release 5.2.20

Merge branch '3.1' into 5.2

Release 3.1.28

Release 3.1.28

Merge branch '5.2' into 5.3

Updating minified JavaScript files

Merge branch '3.1' into 5.2

Updating minified JavaScript files

Merge branch '5.2' into 5.3

Merge branch '3.1' into 5.2

Escape HTML in the filename of the progress indicator during attachment upload

(cherry picked from commit 81b770284267db5dc8c8df86e303a20c3ccb8dce)

Merge branch 'cronjobLogList-xss' into 3.1

Fix XSS in the cronjob's error message in cronjobLogList

This can happen if untrusted information, such as the HTTP response body for a
failed Guzzle request, is embedded into the error message.

Thanks to @SoftCreatR for responsibly reporting the issue.

Updating minified JavaScript files

Escape HTML in the filename of the progress indicator during attachment upload

Only revert points when revoking a reaction

Upgrade to `actions/checkout@v3`

Merge branch '5.2' into 5.3

Upgrade to `actions/checkout@v3`

Validate the `pageNo` in UserTrophyAction::validateGetGroupedUserTrophyList()

Validate that the userID matches a user in UserFollowingAction::validateGetGroupedUserList()

Validate the `pageNo` in UserFollowingAction::validateGetGroupedUserList()

 Validate that the userID matches a user in UserFollowAction::validateGetGroupedUserList()

Validate the `pageNo` in UserFollowAction::validateGetGroupedUserList()

Validate the `pageNo` in MediaAction::validateGetSearchResultList()

Validate the `pageNo` in LikeAction::validateGetGroupedUserList()

Validate the `pageNo` in UserProfileVisitorAction::validateGetGroupedUserList()

Validate the limit and offset in Database::handleLimitParameter()

Simplify condition in UserTrophyAction::validateGetGroupedUserTrophyList()

Validate that the userID matches a user in UserTrophyAction::validateGetGroupedUserTrophyList()

Validate that the userID matches a user in UserProfileVisitorAction::validateGetGroupedUserList()

Fix typing of RuntimeCache's getObject() method

Fix detection of ipv4 adresses for stopforumspam integration

Validate the messageObjectType in MessagePreviewAction::validateGetMessagePreview()

Validate the object type definition in CommentAction::validateObjectType()

Release 5.3.20

Ignore `length` when diffing YearDatabaseTableColumn

Similarly to INT columns MySQL 8 ignores the length of YEAR columns:

https://dev.mysql.com/doc/refman/8.0/en/year.html

> As of MySQL 8.0.19, the YEAR(4) data type with an explicit display width is
> deprecated and you should expect support for it to be removed in a future
> version of MySQL. Instead, use YEAR without a display width, which has the
> same meaning.

Release 5.3.19

Merge branch '5.2' into 5.3

Release 5.2.19

Merge branch '3.1' into 5.2

Release 3.1.27

Merge branch '5.2' into 5.3

Merge branch '3.1' into 5.2

Merge branch 'unknown-bbcode-xss' into 3.1

Fix XSS vulnerability in HtmlBBCodeParser::buildBBCodeTag()

Thanks to @methosiea for responsibly reporting this issue.

Resolves #4653

Fix regular expression for the `atext` production in EmailGrammar

Due to the missing escaping of the hyphen with a backslash the allowed
characters were not just:

- The plus sign (`+`, 0x2B),
- the dash      (`-`, 0x2D), and
- the slash     (`/`, 0x2F).

But all ASCII characters between 0x2B and 0x2F, namely:

- The plus sign (`+`, 0x2B),
- the comma     (`,`, 0x2C),
- the dash      (`-`, 0x2D),
- the dot       (`.`, 0x2E), and
- the slash     (`/`, 0x2F).

i.e. the comma and dot in addition to the actually allowed characters.

This error caused an incorrect encoding of headers in `::encodeHeader()`.
Specifically the real name of a mailbox was affected by this issue. As a result
a real name that included a dot, but otherwise matched the `atom` grammar was
improperly encoded, possibly causing email parsing failures for MUAs.

Merge branch '5.2' into 5.3

Remove codestyle workflow for non-PSR-12 branches

The recent backport of the `|json` template modifier from 5.5 to 3.1+ in
58bc4b693415079127dd11d8210d2564a443010d fails the code style, because the
branches 5.3 and earlier expect tabs instead of spaces for indentation.

It's not really work fixing the code style for the file, just to revert it once
again when merging upwards.

Remove the check for these older branches. They are only touched for bug fixes
and the style will need to be adapted when merging into 5.4.

Release 5.3.18

Merge branch '5.2' into 5.3

Release 5.2.18

Stop using `|encodeJSON`

(cherry picked from commit ab1e34de9ca94dc44b20d0b4d58eca2bad80d9d3)

Merge branch '3.1' into 5.2

Release 3.1.26

Add missing JSON encoding of the PAGE_TITLE in `ampArticle.tpl`

This does not need to be fixed in any current branch, because the broken-ness
of `|encodeJSON` will result in broken metadata one way or another.

(cherry picked from commit bba7f1706e30761e55954a5a4be569e5bb55a6c4)

Stop using `|encodeJSON`

(cherry picked from commit ab1e34de9ca94dc44b20d0b4d58eca2bad80d9d3)

Add `|json` template modifier

(cherry picked from commit e178fa84dc06861c5aba3d14e03161c5396fe9a7)

Release 5.3.17

Merge branch '5.2' into 5.3

Release 5.2.17

Merge branch '3.1' into 5.2

Release 3.1.25

Merge branch '5.2' into 5.3

Merge branch '3.1' into 5.2

Merge branch 'encode-js-quot' into 3.1

Merge pull request #4642 from WoltLab/php-ddl-app-install

Fix the replacing of WCF_N in PHP DDL during app installation

Fix the replacing of WCF_N in PHP DDL during app installation

During app installation the newly installed app might not yet be stored within
the application cache, thus failing to replace the `1` within the table
structure definition.

Fix this by setting the `skipCache` parameter to `true`. This will increase the
number of database queries, because applications will be checked once for each
defined table and for each defined FOREIGN KEY, but I don't see a simple fix
for this issue that avoids this increase in query count. Specifically we cannot
simply reset the application cache after inserting the application into
wcf1_application.