Redmine 6.0.4, 5.1.7, 5.0.12 リリース

2025年3月11日（中央ヨーロッパ時間）、Redmine 6.0.4、5.1.7、5.0.12 がリリースされました。セキュリティ脆弱性の修正が含まれる maintenance release です。

• Redmine日本語情報サイト Redmine.JP
• Redmineのクラウドサービス一覧

  ---

今回のリリースには以下のセキュリティ脆弱性の修正が含まれています。

• XSS in custom query
• XSS in macros
• ProjectQuery leaks details of private projects
• /my/account does not correctly enforce sudo mode
• Update Nokogiri to 1.18.3 to address CVE-2025-24928 and CVE-2024-56171

各脆弱性が該当するバージョンはRedmine Security Advisoriesでご確認ください。

また、「config/database.yml の中で "mysql" のようにダブルクォートで囲んである場合、Redmineが起動しない(#42013)」がバージョン5.1.7で適用されました(#42245)。

変更・修正一覧

各リリースのCHANGELOG（修正・変更点の一覧）の日本語訳です。チケット番号はRedmineオフィシャルサイト上のチケットにリンクしています。

6.0.4, 5.1.7, 5.0.12 共通の変更・修正内容 (2件)

Security （セキュリティ）

• Defect #42194: /my/account does not correctly enforce sudo mode
  /my/account で sudo モードが正しく適用されていない

• Patch #42333: Update Nokogiri to 1.18.3
  Nokogiri をバージョン 1.18.3に更新

6.0.4, 5.1.7 共通の変更・修正内容 (6件)

Code cleanup/refactoring (コードクリーンナップ / リファクタリング)

• Defect #42200: InlineAutocompleteSystemTest login test fails randomly
  InlineAutocompleteSystemTest のログインのテストがランダムに失敗する

• Patch #42244: Fix random failures in IssuesTest#test_bulk_copy due to StaleElementReferenceError
  StaleElementReferenceErrorによるIssuesTest#test_bulk_copyのランダムな失敗を修正

Gems support (RubyGemsサポート)

• Defect #42245: 5.1-stable: Redmine fails to start with error: Unknown database adapter "mysql2" found in config/database.yml
  config/database.yml の中で "mysql" のようにダブルクォートで囲んである場合、Redmineが起動しない

No category (カテゴリーなし)

• Feature #30069: Use GitHub Actions as a secondary CI solution to run tests through the existing mirroring
  既存のミラーリングを通してテストを実行するために、2番目のCIソリューションとしてGitHub Actionsを使用する

Security （セキュリティ）

• Defect #42326: Stored Cross-Site Scripting (XSS) in macros
  マクロ機能における格納型クロスサイトスクリプティングの対応

• Defect #42352: ProjectQuery leaks details of private project
  ProjectQueryが非公開プロジェクトの内容を漏洩する

6.0.4のみの変更・修正内容 (9件)

Administration (管理)

• Feature #42008: Expose default Rails health check endpoint "/up" for load balancers and uptime monitoring
  ロードバランサーと稼働時間監視のために、デフォルトのRailsヘルスチェックエンドポイント/upを公開する

Custom fields (カスタムフィールド)

• Defect #42233: Float custom values with ',' as decimal separator are not converted to '.' and cause SQL errors when sorting or summing
  小数点区切り文字としてカンマ（,）を使用するカスタム浮動小数点値がピリオド（.）に変換されず、ソートまたは合計時にSQLエラーを引き起こす

Project settings (プロジェクト設定)

• Defect #42192: Project settings members tab may raise ArgumentError if orphaned member records exist
  プロジェクト設定のメンバータブで、孤立したメンバーレコードが存在する場合、ArgumentErrorが発生する可能性がある

Security （セキュリティ）

• Defect #42238: Stored Cross-Site Scripting (XSS) in custom query
  カスタムクエリにおける格納型クロスサイトスクリプティングの対応

Time tracking (時間管理)

• Defect #42172: format_hours method produces incorrect output for negative time values when Setting.timespan_format is "minutes"
  format_hoursメソッドが、Setting.timespan_format が minutes の場合に、負の時間値に対して不正な出力を生成する

Translations (翻訳)

• Defect #42170: Fix Turkish translation of field_assignable
  field_assignable のトルコ語翻訳を修正する

• Patch #42239: Czech translation update for 6.0-stable
  チェコ語翻訳を更新する

UI (ユーザーインターフェイス)

• Defect #42229: Latest news box on home page misses icons
  ホーム画面の「最新ニュース」の枠内のアイコンがない

UI - Responsive (ユーザーインターフェイス-レスポンシブ対応)

• Defect #42182: Poor color contrast of icons on flyout menu
  フライアウトメニュー上のアイコンの色のコントラストが低い