Redmine 4.2.9 和 5.0.4 已经发布。Redmine 是一个网页界面的项目管理与缺陷跟踪管理系统的自由及开放源代码软件工具。它集成了项目管理所需的各项功能：日历、燃尽图和甘特图以协助可视化表现项目与时间限制，问题跟踪和版本控制。此外，Redmine 也可以同时处理多个项目。

此次更新包含 4 个重要的安全修复，包括 Redmine 5.0 中引入的访问控制问题，允许未经身份验证的用户下载与 WikiContentVersion 关联的所有附件，因此官方强烈建议尽快升级。可以查看 Security_Advisories 以获取更多信息。

下载地址：https://www.redmine.org/projects/redmine/wiki/Download

主要更新内容有：

• 当活动页面上没有“Next”按钮时不必要地关闭 li 元素 
• wiki_syntax.css 中重复的垂直对齐属性
• 所有的系统测试在 4.2-stable 分支上失败，出现 "ArgumentError: unknown keyword: :desired_capabilities"
• 限制 puma < 6.0.0 以避免系统测试错误
• 当 Ruby 版本< 2.7 时，将 mocha 版本限制为 < 2.0.0，以避免测试错误
• 如果当前项目有子项目，项目字段的只读权限将被忽略
• 不允许查询未知的 display_type
• 序列化日期或时间对象的插件导致 Psych::DisallowedClass 异常
• 由于 blockquote 的引用，textile formattin 中存在持续的 XSS
• Redmine 包含一个跨站脚本漏洞

更多详情可查看 Changelog。