Actu

L'actu de ZwiiCMS : nouveautés, projets et travaux en cours !

ZwiiCMS 13.0.07 et 13.0.08 correctifs et améliorations

Zwii 12 novembre 2023 - 11:28

ZwiiCMS 13.0.08

  • Corrige un bug dans la génération du sitemap.

ZwiiCMS 13.0.07

Corrections

  • Module Slider (version 6.1), conformité de la largeur de l'image en pleine largeur lorsque le site est en largeur 100%.
  • Gestion des extensions, création du dossier "Modules" absent lors de la copie de l'archive d'un module dans le gestionnaire de fichiers.
  • Corrige un bug dans la génération du sitemap lorsque le site ne contient pas de page visible.
  • Evite les messages de warning si le store est inaccessible.

Améliorations

  • Les administrateurs ont la possibilité de forcer un changement de mot de passe sans avoir à connaître le mot de passe en vigueur.
  • Gestion des profils des modules, les termes sont plus précis (Ajouter un article au lieu d'Ajouter).
  • Inversion de l'ordre des boutons dans la fenêtre de login sur les petits écrans.
  • Modifications de la barre d'outils et du menu de l'éditeur de texte TinyMCE.

ZwiiCMS 13.0.06

Zwii 20 octobre 2023 - 17:20

Corrections

  • Corrige le warning déclenché lorsque les boutons de navigation sont placés dans une page orpheline.
  • Supprime les largeurs d'écran en pourcentages inférieures à 100 %. Cette tentative avortée nécessitait des modifications des feuilles de styles. N'ayant pas le temps pour ce chantier, les options reviennent aux précédentes. 

ZwiICMS 13.0.05 et mise à jour du module Download

Zwii 14 octobre 2023 - 18:50

Corrections

  • Adresse d'envoi des emails non spécifiée.

Améliorations

  • Ajoute des filtres des membres, groupes/profils, prénoms et noms commençant par telle lettre.
  • Restaure la gestion d'erreur à l'étape 4 de la mise à jour automatique.
  • Nouvelles tailles d'écran en pourcentages de 70% à 100% par pas de 5%.
  • Déplacement de la fonction signature de la fonction core.php.
  • Doublement de la taille des opérateurs dans le captcha de la fenêtre de login.

Remarque importante :

Si vous utilisez le module Download, il faudra effectuer une mise à jour par FTP vers 4.1

ZwiiCMS 13, mises à jour successives

Zwii 06 octobre 2023 - 13:33
Version 13.0.01
Corrections
- Mauvaise présentation de l'icône devant les pages enfants dans la liste de liens de TinyMCE.
- Module redirection : édition  de la page ou du module impossible.

Version 13.0.02
Corrections
- Bug de renommage de la base de données des fontes

Ce correctif est destiné aux mises à jour depuis la version 12.4, si vous êtes déjà passé à la version 13, il faudra corriger les URL des fontes dans thème / fontes manuellement.

de : https://font.cdnfont.com/css/lobster-2
vers : https://fonts.cdnfonts.com/css/lobster-2

je remercie la ténacité de @lemimi

Explications : bug causé dans le script pre-update.php la fonctionnalité de renommage des bases fontes et languages utilise une fonction de remplacement dont la portée a été mal délimitée.

Version 13.0.03

Améliorations
- Déplacement du bouton de gestion des langues à la droite du sélecteur de langues dans la barre d'administration. Le sélecteur de langue est toujours affiché même si le français est la seule langue disponible.
- Suppression d'appels inutiles à une fonction de contrôle CSRF.
- Supprime les fonctions liées à la gestion des données des modules contenant des bugs variés.
Corrections
- Message de réinitialisation de mot de passe non envoyé.
- Complète le message d'erreur lorsque des modules PHP sont absents.
- Les liens dans le pied de page prennent la couleur définie dans le site.
- Module form 4.1 : corrige un email non envoyé après validation d'un formulaire.
- Module blog Version 7.1 : permission lors de la validation d'un formulaire

Il y a encore deux problèmes à régler dont le plantage lors de l'étape 4 d'une mise à jour qui ne restaure pas htaccess avec les URL intelligentes.

Version 13.0.04

Corrections
- Corrige un bug de sécurité. Lorsqu'un profil dispose des droits d'accès au gestionnaire de fichiers et qu'aucun dossier est sélectionné, la racine du site était affichée.
- Corrige un problème d'affichage des commentaires des profils dans l'édition d'un compte.
- Erreur d'édition d'un profil de niveau 1, exemple membre simple.
- Le profil de membre simple affichait le gestionnaire de fichiers dans tous les cas.
- Importation d'utilisateurs en masse, le bouton de téléchargement d'un modèle était inopérant.
Améliorations
- Supprime la gestion d'erreur à l'étape 4 de la mise à jour automatique.
- Modifie l'URL de téléchargement des mises à jour.
- Améliore l'affichage des dates lorsque le site est affiché dans une langue étrangère.

ZwiiCMS 13 est disponible

Zwii 03 septembre 2023 - 14:10

Pourquoi Zwii 13 ?

Cette évolution majeure tient compte d’un constat implacable, le manque de sécurisation du CMS dans les versions précédentes et ceci jusqu’avant la version 12.4

Zwii 12.4 corrige une partie de ces vulnérabilités, malheureusement de manière insuffisante. À ce jour, Zwii 13 n'étant pas encore disponible, je ne donnerai pas d'exemple des vulnérabilités. Il faut juste savoir qu'un utilisateur non connecté peut réaliser une certain nombre d'actions sur la configuration du site. Toutes les versions antérieures et les éventuels fork comme Delta CMS souffrent des mêmes vulnérabilités.

Je rappelle d'ailleurs que désormais la licence ne permet plus de distribuer un fork de Zwii. Bien évidemment, vous pouvez bidouiller Zwii et apporter des modifications dans le code sans pour autant les diffuser.

Zwii 13 est développé depuis quelques mois, c’est en testant le fonctionnement des nouveaux profils d’utilisateurs que les faiblesses sont apparues. On peut imaginer que des hackeurs aient mis la main sur ces mêmes vulnérabilités, voilà pourquoi le développement de Zwii 13 est devenu une priorité.

Le but de cette version 13 est de s'assurer que les rôles sont strictement respectés et qu'aucune action sur la configuration est possible sans avoir été autorisée.

Rappel des rôles dans Zwii

Les rôles correspondent à des groupes d'utilisateurs. Qu’ils disposent d’un compte ou pas, les utilisateurs de Zwii sont répartis dans des groupes fixes. Les groupes sont identifiés par des constantes et un nom explicite qui est listé dans la gestion des utilisateurs.

Il y a quelques années, un module proposait de créer un nouveau groupe, les adhérents. Ce groupe n’autorisait pas l’édition du compte et la modification du mot de passe. Les nouvelles dispositions de profil éliminent la nécessité de créer des groupes supplémentaires.

Utilisateur banni : 

  • il dispose d’un compte inactivé ;
  • la constante du groupe est -1.

Visiteur : 

  • il ne dispose pas d’un compte, tout accès au CMS hors connexion est identifié par ce rôle ;
  • la constante du groupe est 0.

Membre :

  • le membre dispose d’un compte ;
  • ce compte lui donne accès aux pages privées ;
  • la constante du groupe est 1.

Éditeur ou modérateur :

  • le membre dispose d’un compte ;
  • ce compte lui donne accès à des fonctions d’édition du contenu du site ;
  • ce compte ne lui donne pas accès aux fonctions d’administration du site, la configuration, la gestion des utilisateurs, le thème, les plugins (extensions ou modules), les langues du site ;
  • Il peut disposer d’un accès à un dossier partagé ;
  • la constante du groupe est 2.

Administrateur : 

  • ce compte dispose de tous les droits sur le site ;
  • la constante du groupe est 3.

Les profils de groupes

Les profils sont une nouveauté introduite par Zwii 13, ils définissent précisément les droits des membres et des éditeurs. Les deux groupes restrictifs, visiteurs et bannis ne sont pas concernés, car ils ne disposent d'aucun droit, ni d’ailleurs le groupe des administrateurs qui disposent de toutes les permissions.

En quelque sorte, les profils sont des sous-groupes. 

Dans une installation vierge ou après une mise à jour, quatre profils sont créés. Il est possible d'éditer et d'ajouter autant de profils que nécessaire et bien sûr de supprimer un profil, dans la mesure où il n'est pas affecté.

Profils proposés par défaut lors de la mise à jour :

Membre simple (profil 1) :

Le membre simple dispose des mêmes droits que le membre standard, l’accès unique aux pages privés.

Membre (profil 2) :

Le membre accède aux pages réservées et à un dossier partagé.

La sélection du dossier partagé s’effectue dans la définition du profil, ce n’est pas le seul réglage, il est désormais possible de définir précisément les autorisations sur les fichiers et les dossiers : 

Ce n’est pas le seul paramètre, la permission d’éditer les paramètres du compte est proposée. Une fois l’option décochée, les membres associés à ce profil ne pourront plus éditer le compte utilisateur et changer le mot de passe. Ce profil devient équivalent au groupe adhérent proposé jadis dans le cadre d'un module, ce qui est idéal pour les associations.

Profils des éditeurs ou modérateurs (code 2) 

L’éditeur dispose des droits d’édition des pages, dans les faits, il a la capacité de disposer de tous les droits d’édition à l’exception des droits qui sont réservés à l’administrateur. Le modérateur peut bénéficier des mêmes droits que les membres sur les fichiers et les dossiers.

Éditeur simple (profil 1)

Ce rôle est limité à la création de contenu texte, il peut agir sur le contenu des pages, des blogs et des news :

Il peut éditer son propre compte, gérer les fichiers d’un dossier partagé, mais de dispose pas de droits sur les dossiers :

Le rédacteur (profil 2)

Il dispose de tous les droits d’édition des pages, de création et de suppression. Il peut également gérer tous les modules.

Au niveau des fichiers, il ne peut pas gérer les dossiers contenus dans le dossier de partage.

L’administrateur (code 3)

Par défaut, l’administrateur dispose de tous les droits sur le site.

Ces permissions ne sont pas partagées avec les autres profils :

  • la configuration
  • les utilisateurs
    • les groupes et les permissions
  • le thème
  • les langues

Cas particuliers

Quand un module est installé et que les droits ne sont pas proposés dans le profil. C'est le groupe qui détermine les autorisations selon ce que le programmeur du module a défini dans les actions de la classe du module. Le membre du groupe conserve alors tous les droits qui ont été attribués au groupe des éditeurs.

Après l'installation de Zwii 13 ?

Les profils par défaut sont affectés aux membres des groupes, membre simple et éditeur simple. Tant que l'administrateur n'ajuste pas les permissions, elles sont identiques à un Zwii standard.

Les autres fonctionnalités de Zwii 13

- Améliore la gestion de la base de données et la génération du fichier de journalisation, stockage des données JSON, forçage au format objet.
- Erreurs fictives pendant la mise à jour en ligne, améliorations du dialogue AJAX entre PHP et JQUERY avec un affichage précis des erreurs.
- L'ajout d'une langue de contenu initialise les données de la langue.
- Format d'image avif si supporté par la version installée de php.
- Remplacement du service ScreenShot API par un sélecteur manuel ; affiche les paramètres d'images recommandées et ceux de l'image sélectionnée.
- Nouvelles options de page qui autorise un déplacement latéral dans la hiérarchie du menu à l'aide de deux boutons personnalisables parmi 3 modèles :

Corrections

- Correction de bugs mineurs dans la sauvegarde et la suppression des modules installés.
- Problèmes de mise à jour depuis les versions 11.
- Dépréciations liées à php 8.n

 

 

ZwiiCMS 12.4.00

Zwii 27 juin 2023 - 09:00

Cette version propose une mise à jour renforce la sécurité du CMS, son installation est vivement recommandée.

  • L'ID de session n'est plus transmise dans l'URL, les modules distribués ont été actualisés.
  • Corrections de bug dans le module Blog, merci de consulter le fichier changes.log du module.

ZwiiCMS 12.3.11

Zwii 09 mai 2023 - 21:06
  • Interdit la création d'une langue autrement que par un administrateur.

ZwiiCMS 12.3.10

Zwii 09 mai 2023 - 14:37
  • Edition d'un utilisateur, affiche correctement la langue de l'interface dans l'édition d'un utilisateur.
  • Mise à jour du fichier dialog.php de Responsive File Manager
  • Vulnérabilité dans ajax_call.php CVE-2020-10567, désactivation de TUI Editor et de la fonction save_image.

Gérer les cookies

Ce site utilise des cookies nécessaires à son fonctionnement, ils permettent de fluidifier son fonctionnement par exemple en mémorisant les données de connexion, la langue que vous avez choisie ou la validation de ce message.



Consulter les mentions légales