Comme indiqué sur le forum En Security vulnerabilities question
Si un fichier *.phar est "uploader" par FilePicker il y a un risque. .Il en est de même si le fichier *.phar est "uploader" par le Gestionnaire des fichiers.
Il est bien sur évident que pour effectuer cette opération il faut être logué en Admin, mais il y a un risque mimine quand même !

Bonjour,
J'essaie de converti de 1.x vers 2.x la gestion de block de contenu (anciennement GCB) avec une UDT en php :

Avec cmsms 1.x :
$gcbOps =cmsms()->GetGlobalContentOperations();
$mybloc = $gcbOps->LoadHtmlBlobByName("my_block");
$mybloc = $mybloc + "bla bla";
$gcbOps->UpdateHtmlBlob($mybloc)

 Maintenant avec cmsms 2.x :
Comment créer un bloc 'Core:Generic' en php depuis une UDT et/ou en modifier le contenu ? Quelles sont les méthodes à utiliser SVP ?

PS : j'arrive tout de même à lire le contenu d'un bloc avec :
$mybloc = $smarty->fetch('cms_template:my_block');

Merci de votre aide.
Cordialement.

Bonjour,
Version 2214, 2.216

Sous chrome j'ai un problème dans le back-office avec la boite de dialogue "insérer/modifier une image", la fonction js de la boite de dialogue assombri l'écran de modification du contenu de la page, mais la boite s'affiche dans le bas de l'écran et reste non cliquable...
La fonction marchait bien lors de la création des sites... :

A près une mise à jour de Chrome même symptômes.
Sous FF cela fonctionne, sous Edge aussi ... que sous Chrome que cela le fait.
Avez-vous eu ce problème ?

Bonne journée à tous !
François

Un petit rappel
sur la version stable actuellement en cours (le 25/01/23) la V 2.2.16 du 21/01/2022
la version de Smarty était la 3.1.31 du 14/12/2016
Depuis il y a eu des corrections
 - avec alertes de sécurité (Security) [3.1.43] - 2022-01-10
 - d'autres versions avec des corrections
 -  la dernière version 3.x est la 3.1.47 du 14/09/2022 prévue dans la "future 2.2.17" (cette version 3.1.47 est limitée à PHP 7.4 maxi et PHP 7.4 est passée en fin de vie le 28/11/2022)
 Depuis,
 - la version Smarty 4.2.1 (prévue pour PHP 7.4 à PHP 8.2) est sortie le 14/09/2022 (cette version est compatible avec la "future 2.2.17" moyennant quelques modification du code du core de CMSms.
 - la version Smarty 4.3.0 (prévue pour PHP 7.4 à PHP 8.2) est sortie le 22/11/2022 (d'après mes tests il est partiellement compatible sauf pour les pages de contenus qui donne une page blanche   et des soucis ...)

Maintenant
- la version 4.3.0 à reçue quelques modifications ...
Et
une nouvelle version 5.0 est en cours de développement avec très nombreuses modifications.

Donc notre CMSms à un peu de retard à combler !

Voici la traduction (avec DeepL) du communiqué officiel tout juste sorti :

"Une vulnérabilité permettant à un attaquant distant de lancer la routine de désinstallation de certaines instances de LISE a été découverte aujourd'hui. Une mise à jour (version 1.4.3) de LISE a été publiée pour corriger ce problème. Elle doit être appliquée immédiatement à tous les sites utilisant le module LISE.

L'exploit entraîne la suppression des tables de la base de données de l'instance, mais tous les fichiers restent intacts. Le remède consiste à récupérer les tables en question à partir d'une sauvegarde de la base de données. Le correctif empêchera de futurs exploits similaires, mais ne pourra pas récupérer les données perdues."

Comment encodez-vous les caractères accentués sur vos pages HTM avec le  charset="utf-8", avec tinymce configuré par défaut ?
par défaut il "semble" utiliser et donc transformer les é à ..  en é à .. pour l’affichage de la source de la page 

Dans la recherche Admin cela semble poser des soucis pour trouver certain mots.

Normalement il faudrait mettre dans le tinymce_config.js :
entity_encoding : "raw",
pour éviter la transformation en entités HTML é à ...

Bonjour,

Sur la nouvelle Version 2.2.16,
le chemin de l'image n'est pas le bon !
Il y à les \ dans le mauvais sens (voir pièce jointe) = les images ne s'affiche pas !

Comment modifier pour avoir le chemin suivant: /images/xxx.jpg ?

Merci à vous.

Pièces jointes

Miniature(s)
   

Bonjour,

J'ai un gros problème avec un de mes sites en production.
Je n'arrive plus à me connecter à l'admin, avec mon compte d'administrateur.
Par contre, cela fonctionne avec le compte de mon client ( mais avec les restrictions évidemment ).

Ça mouline, et au bout d'un certain temps , j'ai le message 

"Internal Server Error
The server encountered an internal error or misconfiguration and was unable to complete your request.
Please contact the server administrator at postmaster@trailpomhaiesvergers.fr to inform them of the time this error occurred, and the actions you performed just before this error.
More information about this error may be available in the server error log."


J'ai essayé de vider les caches à l'arrache en ftp en effaçant le contenu du dossier tmp, sans succès.

C'est un serveur OVH.

Alors ce validateur affiche maintenant si c'est du HTML 5
des alertes pour " Self-closing tag..." donc si vous avez du texte avec une balise fermante = />
par exemple les br/> et autres balises dont certaines sont codées en dur
(ex cms_stylesheet ou function.metadata ou ..)
et bien sur les br/> des pages avec tinymce

ça donne :
Warning: Self-closing tag syntax in text/html documents is widely discouraged; it’s unnecessary and interacts badly with other HTML features (e.g., unquoted attribute values). If you’re using a tool that injects self-closing tag syntax into all void elements, without any option to prevent it from doing so, then consider switching to a different tool.

mais il est prévu un bouton "message_filtering" pour "Use the Message Filtering button below to hide/show particular messages, and to see total counts of errors and warnings.
Cacher ces messages que je saurait voir 

Des avis ??

Bonjour,

plutôt une bonne nouvelle, Paul Baker sur le .org lance un appel pour de nouveaux développeurs. "Just in time" comme dirait l'autre, mais j'y vois l'opportunité d'une meilleure structuration du projet et surtout d'une croissance rapide et ambitieuse.

J'espère que cela ne restera pas lettre morte. Les quelques voix qui portent ici pourraient sans doute relayer l'appel   (avec l'accord des hautes instances, cela va sans dire). Trois ou quatre développeurs motivés, si l'on ne se heurte pas au jeu des égos, ça doit faire des miracles avec notre CMS.