一、这是Drupal 9的一个补丁(bug修复)版本,可以在您的Drupal 9生产站点上使用。
二、正在为Drupal 10所见即所得编辑开发CKEditor 5模块,该模块依赖于第三方CKEditor5 JavaScript库。CKEditor已发布了CKEditor 5的安全建议:
CVE-2022-31175:编辑器实例销毁过程导致的跨站点脚本(XSS)
只有当您的网站在Full HTML格式与QuickEdit中的CKEditor一起使用时,Drupal core才易受攻击,并且该漏洞仅影响插入JavaScript有效负载的用户。由于full HTML已经允许编写可以包含跨站点脚本(XSS)有效负载的JavaScript,我们将此更新视为公共安全强化。
Drupal 9中的CKEditor 4不受影响,因此仅启用稳定的CKEditor模块(卸载了CKEditor 5实验模块)的站点不会受到影响,也不迫切需要更新到此版本。
Drupal 9.4.x 在2023年6月之前获得安全保障。
如果您是从Drupal8升级到Drupal9,请在升级到本版本之前阅读将Drupal8网站升级到Drupal9案例、9.0.0发行说明和9.4.0发行说明书。
三、重要更新信息
1、Drupal 9.4.4从core的composer中删除了“替换”部分。核心模块的json。但是,同时意外删除了核心组件的“替换”信息,导致编写器警告。核心组件的“替换”信息已恢复,这将解决这些警告。
2、Drupal 9站点中的CKEditor 5已从34.1.0更新为35.0.1,以进行安全更新。此更新还引入了与CKEditor 35.0.0的向后兼容性中断。因此,CKEditor 5集成的维护人员应查看CKEditor 3.0.1发行说明。
3、symfony/http foundation已更新至6.1.3,以解决可破坏服务的错误。