Redmine项目管理系统迎来重要更新，6.1、6.0和5.1三大系列的最新维护版本正式发布，此次升级重点解决了安全风险并优化了多项功能。

安全修复

所有三个版本（6.1.2、6.0.9 和 5.1.12）都包含以下安全修复：

1. Defect #43661：AttachmentsHelper 中 eval 的使用不安全
2. Defect #43690：Filesystem SCM 中通过 Backslash-Separated Paths 引发目录遍历漏洞
3. Defect #43691：@mention autocomplete 功能中因用户名未转义导致的 DOM（存储型）XSS 漏洞
4. Defect #43692：LDAP 注入（LDAP 搜索过滤器中存在未转义的输入）
5. Defect #43694：DOM XSS：通过 Query Filter Generation 中的自定义字段名称注入 HTML 漏洞
6. Defect #43830：仅被允许查看自己工时记录的用户可以通过 REST API 直接指定 TimeEntry ID 来检索其他用户的工时记录详情。
7. Defect #43864：将 Nokogiri 更新至 1.18.9 版本

维护改进

Redmine6.1.2包含大量维护修复程序（共 30 个）。

1. 针对 RTL 语言的一系列新修复
2. SVG Icons：主题开发者现在可以覆盖默认 icons sprite，详情可参见#43087。
3. recent_pages宏现在支持include_subprojects参数

建议用户及时升级至最新版本以获取完整安全补丁和功能优化，更多版本更新细节可通过官方公告页面查阅。