Announcements - General
Several security vulnerabilities, some of them critical, have been discovered in Admidio. All of these have been fixed in version 5.0.7. We strongly recommend updating to this version.
Missing Authorization and CSRF Protection on Document and Folder Deletion
The documents and files module in Admidio does not verify whether the current user has permission to delete folders or files. The folder_delete and file_delete action handlers in modules/documents-files.php only perform a VIEW authorization check (getFolderForDownload / getFileForDownload) before calling delete(), and they never validate a CSRF token. Because the target UUIDs are read from $_GET, deletion can be triggered by a plain HTTP GET request. When the module is in public mode (documents_files_module_enabled = 1) and a folder is marked public (fol_public = true), an unauthenticated attacker can permanently destroy the entire document library. Even when the module requires login, any user with view-only access can delete content they are only permitted to read.
For more information visit https://github.com/Admidio/admidio/security/advisories/GHSA-rmpj-3x5m-9m5f
File Upload(RCE) Vulnerability
A critical unrestricted file upload vulnerability exists in the Documents & Files module of Admidio. Due to a design flaw in how CSRF token validation and file extension verification interact within UploadHandlerFile.php, an authenticated user with upload permissions can bypass file extension restrictions by intentionally submitting an invalid CSRF token. This allows the upload of arbitrary file types, including PHP scripts, which may lead to Remote Code Execution (RCE) on the server. For more information visit https://github.com/Admidio/admidio/security/advisories/GHSA-95cq-p4w2-32w5
Second-Order SQL Injection via List Configuration
The MyList configuration feature in Admidio allows authenticated users to define custom list column layouts. User-supplied column names, sort directions, and filter conditions are stored in the adm_list_columns table via prepared statements (safe storage), but are later read back and interpolated directly into dynamically constructed SQL queries without sanitization or parameterization. This is a classic second-order SQL injection: safe write, unsafe read.
An attacker can inject arbitrary SQL through these stored values to read, modify, or delete any data in the database, potentially achieving full database compromise.
For more information visit https://github.com/Admidio/admidio/security/advisories/GHSA-3x67-4c2c-w45m
Missing Authorization on Forum Topic and Post Deletion
The forum module in Admidio does not verify whether the current user has permission to delete forum topics or posts. Both the topic_delete and post_delete actions in forum.php only validate the CSRF token but perform no authorization check before calling delete(). Any authenticated user with forum access can delete any topic (with all its posts) or any individual post by providing its UUID.
This is inconsistent with the save/edit operations, which properly check isAdministratorForum() and ownership before allowing modifications.
For more information visit https://github.com/Admidio/admidio/security/advisories/GHSA-g375-5wmp-xr78
HTMLPurifier Bypass in eCard Message Allows HTML Email Injection
The eCard send handler in Admidio uses the raw $_POST['ecard_message'] value instead of the HTMLPurifier-sanitized $formValues['ecard_message'] when constructing the greeting card HTML. This allows an authenticated attacker to inject arbitrary HTML and JavaScript into greeting card emails sent to other members, bypassing the server-side HTMLPurifier sanitization that is properly applied to the ecard_message field during form validation.
For more information visit https://github.com/Admidio/admidio/security/advisories/GHSA-g375-5wmp-xr78
SSRF and Local File Read via Unrestricted URL Fetch in SSO Metadata Endpoint
The SSO metadata fetch endpoint at modules/sso/fetch_metadata.php accepts an arbitrary URL via $_GET['url'], validates it only with PHP's FILTER_VALIDATE_URL, and passes it directly to file_get_contents(). FILTER_VALIDATE_URL accepts file://, http://, ftp://, data://, and php:// scheme URIs. An authenticated administrator can use this endpoint to read arbitrary local files via the file:// wrapper (Local File Read), reach internal services via http:// (SSRF), or fetch cloud instance metadata. The full response body is returned verbatim to the caller.
For more information visit https://github.com/Admidio/admidio/security/advisories/GHSA-6j68-gcc3-mq73
Missing CSRF Protection on Role Membership Date Changes
The save_membership action in modules/profile/profile_function.php saves changes to a member's role membership start and end dates but does not validate the CSRF token. The handler checks stop_membership and remove_former_membership against the CSRF token but omits save_membership from that check. Because membership UUIDs appear in the HTML source visible to authenticated users, an attacker can embed a crafted POST form on any external page and trick a role leader into submitting it, silently altering membership dates for any member of roles the victim leads.
For more information visit https://github.com/Admidio/admidio/security/advisories/GHSA-h8gr-qwr6-m9gx
Missing CSRF Validation on Role Delete, Activate, and Deactivate Actions
The delete, activate, and deactivate modes in modules/groups-roles/groups_roles.php perform destructive state changes on organizational roles but never validate an anti-CSRF token. The client-side UI passes a CSRF token to callUrlHideElement(), which includes it in the POST body, but the server-side handlers ignore $_POST["adm_csrf_token"] entirely for these three modes. An attacker who can discover a role UUID (visible in the public cards view when the module is publicly accessible) can embed a forged POST form on any external page and trick any user with the rol_assign_roles right into deleting or toggling roles for the organization. Role deletion is permanent and cascades to all memberships, event associations, and rights data.
For more information visit https://github.com/Admidio/admidio/security/advisories/GHSA-wwg8-6ffr-h4q2
We have now created a wiki page describing the important new features in version 5.
We have made many changes in Admidio 4.3. You can find a list of all changes on GitHub. In this article we will describe the most important changes.
Registration module revised
The module for registering members has been completely revised. It is now the first module that is completely based on a template and can therefore be changed in the theme folder.
For new registrations, members must confirm their registration. They will receive an e-mail with a confirmation link. It is now possible to set whether members become active automatically after the e-mail confirmation or whether they still have to be activated manually. With manual approval, there is now an improved overview page on which you can see directly whether the new member has already confirmed their registration and whether there is already a contact with a similar name.
Improved template integration
Template integration has been further improved. The main menu and the individual function menus of the modules are now displayed via the template engine and can therefore be customized. All form elements have also been converted to the template engine. In addition to full template support for the registration module, individual pages in the "Groups and roles", "Documents and files" and "Contacts" modules are also displayed using the templates.
Members module renamed to Contacts
The "Members" module (formerly user administration) is now called "Contacts" and is visible to all registered users. However, each user will only see the contacts that they are authorized to see. We have deliberately chosen the name "Contacts", as in a club with its members not only members are always recorded, but perhaps also craftsmen, suppliers, alumni, external trainers and much more.
Enhancements to the notifications
Notifications are now sent for all modules, both for new and changed entries. The notifications now also contain a direct link to the respective object that was created or edited. It is now also possible to deactivate individual notifications in the system notifications. To do this, simply remove the corresponding text from the notification box.
Export to Excel and OpenDocumentFormat
The export of contact/member lists from the groups & roles and the participation lists for events has been revised. A native Excel export is now possible, as well as an export to the OpenDocument format.
Improved role assignment
The assignment of roles is possible in many places in the program. Unfortunately, it used to be the case that each place in the program had its own logic. This has now been standardized and a history is now maintained when roles are assigned. A change from manager to normal member is now also stored in two assignments. The following example history can now be viewed in the profile:
Board member - Manager 01.10.2023 - 31.12.9999
Board member 15.03.2022 - 30.09.2023
Executive Board 23.05.2018 - 30.06.2020
Translations
Thai language added.
German translation has been updated.
Danish translation has been updated.
Swedish translation has been updated.
Portuguese translation has been updated.
-----------------------------------------------------------------------------------------------------------------------------------------
Was ist neu in Admidio 4.3?
Wir haben viele Änderungen in Admidio 4.3 vorgenommen. Sie können eine Liste aller Änderungen auf GitHub finden. In diesem Artikel werden wir die wichtigsten Änderungen beschreiben.
Registierungsmodul überarbeitet
Das Modul für die Registrierung von Mitgliedern wurde komplett überarbeitet. Es ist nun das erste Modul welches vollständig auf einem Template basiert und somit im Theme-Ordner verändert werden kann.
Bei neuen Registrierungen müssen die Mitglieder ihre Registrierung bestätigen. Dazu erhalten Sie eine E-Mail mit einem Bestätigungslink. Es ist nun einstellbar, ob Mitglieder nach der E-Mail-Bestätigung automatisch aktiv werden oder weiterhin manuell freigeschaltet werden müssen. Bei der Manuellen Freigabe gibt es nun eine verbesserte Übersichtsseite auf der direkt ersichtlich ist, ob das neue Mitglied seine Anmeldung bereits bestätigt hat und ob es bereits einen Kontakt mit einem ähnlichen Namen gibt.
Verbesserte Template-Integration
Die Template-Integration wurde weiter vorangetrieben. Es werden nun das Hauptmenü und auch die einzelnen Funktionsmenüs der Module über die Template-Engine dargestellt und können somit angepasst werden. Ebenso wurden nun alle Formular-Elemente auf die Template-Engine umgestellt. Neben der vollständigen Template-Unterstützung des Registrierungsmoduls, werden auch in den Modulen „Gruppen und Rollen“, „Dokumente und Dateien“, sowie „Kontakte“ einzelne Seiten über die Templates dargestellt.
Module Mitglieder umbenannt in Kontakte
Das Modul „Mitglieder“ (ehemals Benutzerverwaltung) heißt nun „Kontakte“ und ist für alle registrierten Benutzer:innen sichtbar. Allerdings werden jedem Benutzer und jeder Benutzerin nur die Kontakte angezeigt, die es selber sehen darf. Der Name „Kontakte“ haben wir bewusst gewählt, da auch in einem Verein mit seinen Mitgliedern nicht nur immer Mitglieder erfasst werden, sondern vielleicht auch Handwerker, Zulieferer, Ehemalige, externe Trainer uvm.
Modul Termine umbenannt in Veranstaltungen
Dieses Modul hieß bereits in allen anderen Sprachen „Veranstaltungen“. Nun haben wir es auch in der deutschen Sprache entsprechend umbenannt um einen einfachen Sprachwechsel zu ermöglichen.
Erweiterungen bei den Benachrichtigungen
Es werden nun Benachrichtigungen bei allen Modulen, sowohl bei neuen, als auch bei geänderten Einträgen versendet. Die Benachrichtigungen beinhalten jetzt auch einen direkten Link zu dem jeweiligen Objekt, welches angelegt oder bearbeitet wurde. Es ist nun auch möglich bei den Systembenachrichtigungen einzelne Benachrichtigungen zu deaktivieren. Dazu entfernt man einfach den entsprechenden Text aus der Benachrichtigungsbox.
Export nach Excel und OpenDocumentFormat
Der Export von Kontakt-/Mitgliederlisten aus den Gruppen & Rollen, sowie bei den Teilnahmelisten zu Veranstaltungen wurde überarbeitet. Es ist nun ein nativer Excel-Export möglich, sowie ein Export in das OpenDocumentFormat.
Verbesserte Rollenzuordnung
Die Zuordnung von Rollen ist an vielen Stellen im Programm möglich. Leider war es bisher so, dass jede Stelle im Programm ihre eigene Logik hatte. Dies wurde jetzt vereinheitlicht und es wird nun eine Historie bei der Zuordnung von Rollen gepflegt. Auch ein Wechsel von Leiter zu normalem Mitglied wird nun in zwei Zuordnungen hinterlegt. Es kann nun folgende beispielhafte Historie im Profil eingesehen werden:
Vorstand – Leiter 01.10.2023 – 31.12.9999
Vorstand 15.03.2022 – 30.09.2023
Vorstand 23.05.2018 – 30.06.2020
Übersetzungen
Sprache Thailändisch hinzugefügt.
Deutsche Übersetzung wurde aktualisiert.
Dänische Übersetzung wurde aktualisiert.
Schwedische Übersetzung wurde aktualisiert.
Portugiesische Übersetzung wurde aktualisiert.
What is new in Admidio 4.2?
We have made a lot of changes within Admidio 4.2. You can find a list of all changes at GitHub. Within this article we will describe the main changes.
Who is allowed to see profiles?
Until now, this right could only be assigned very globally. If you wanted someone to see role memberships, then they automatically got the right to see the members' profiles as well. This is now changed in version 4.2. You can now assign the right to see a role membership separately from the right to see profile data of role members. For this purpose there are two settings for the role "See role membership" and "See profiles of role members". Both take over the same value, which was assigned so far, during the update. You can then configure this separately from each other. Another new feature is that you can assign one of these rights only for leaders.
Individualize e-mails
It is now possible to personalize emails to members and roles. To do this, the e-mails must be sent individually, even for roles with many members (this can sometimes be prevented by hosters) and you can then use the following placeholders in the e-mail text:
#recipient_firstname#
#recipient_lastname#
#recipient_email#
#recipient_name#
These will then be replaced by the respective recipient before sending. Thanks to marchorst for this feature.
Admidio layout easier to customize
The first steps are now implemented, so that you can now customize the individual elements of a form via template files. There are now more template files in the themes folder, which you can adapt to your needs. Also simpler adjustments to the menu are now possible. Also at this point many thanks to marchorst for the implementation.
Configure profile fields
You can now set a default value for the profile fields, which will be filled directly when a new member is created. This value can be overwritten when the member is created, of course, but this ensures that at least the default value is entered. It is now also possible to define your own checking rules for each profile field using Regex. These rules are then checked in addition to the permanently implemented rules for a field. In addition, it is now possible to make individual profile fields mandatory for registration only. This can be useful e.g. for the e-mail address, because you need it for registered members, but maybe not all manually created members have a known e-mail address.
Changes in the usability
The most obvious changes you can see directly when you start the new version. All functions for individual pages / modules are no longer listed in the sidebar, but under the heading of the respective page. This keeps the menu more static and manageable. Also the functions are better visible.
In the header of each page you will now find the so-called breadcrumbs. These replace the back navigation on each page and bring more clarity to the navigation.
Other changes
- Notifications of changes can now be sent to a role, not just an email address.
- Date and time are now corresponding HTML fields, so there is now help from the browser when filling them in.
- If an error occurs during an update, the update now stops at this point and can be continued later exactly at this point. Previously, it could happen that the update still ran to the end and possibly individual steps were not implemented.
- If a new folder, which was uploaded via FTP, is added in the Documents and Files module, the folder with all files and subfolders is now added. Previously, all subfolders and files had to be added individually.
- Compatibility with PHP 8.2
-------------------------------------------------------------------------------------------
Was ist neu in Admidio 4.2?
Wir haben viele Änderungen in Admidio 4.2 vorgenommen. Sie können eine Liste aller Änderungen auf GitHub finden. In diesem Artikel werden wir die wichtigsten Änderungen beschreiben.
Wer darf Profile sehen?
Bisher konnte dieses Recht nur sehr global vergeben werden. Wenn man wollte, dass jemand Rollenmitgliedschaften sieht, dann bekam er automatisch auch das Recht die Profile der Mitglieder zu sehen. Dies ändert sich nun in Version 4.2. Ihr könnt jetzt das Recht eine Rollenmitgliedschaft sehen getrennt von dem Recht Profildaten von Rollenmitgliedern einzusehen vergeben. Dazu gibt es die beiden Einstellungen bei der Rolle „Rollenmitgliedschaft sehen“ und „Profile der Rollenmitglieder sehen“. Beide übernehmen beim Update denselben Wert, der bisher vergeben war. Ihr könnt dies anschließend dann getrennt voneinander Konfigurieren. Neu hinzugekommen ist auch, dass ihr eines dieser Rechte nur für Leiter vergeben könnt.
E-Mails individualisieren
Es ist nun möglich, dass ihr E-Mails an Mitglieder und Rollen stärker personalisieren könnt. Dazu müssen die E-Mails auch bei Rollen mit vielen Mitgliedern einzeln verschickt werden (dies kann von Hostern schon mal unterbunden werden) und ihr könnt dann im E-Mail-Text die folgenden Platzhalter nutzen:
#recipient_firstname#
#recipient_lastname#
#recipient_email#
#recipient_name#
Diese werden vor dem Versand dann durch den jeweiligen Empfänger ersetzt. Vielen Dank an marchorst für diese Funktion.
Admidio Layout einfacher anpassen
Es sind nun die ersten Schritte implementiert, so dass man nun die einzelnen Elemente eines Formulars über Template-Dateien anpassen kann. Dazu sind nun im Themes-Ordner weitere Template-Dateien abgelegt, welche ihr euren Bedürfnissen anpassen könnt. Auch einfachere Anpassungen am Menü sind nun möglich. Auch an dieser Stelle vielen Dank an marchorst für die Implementierung.
Profilfelder konfigurieren
Ihr könnt nun bei den Profilfeldern einen Standardwert hinterlegen, der direkt befüllt wird, wenn ein neues Mitglied angelegt wird. Dieser Wert kann bei der Anlage des Mitglieds dann natürlich überschrieben werden, aber so ist sichergestellt, dass mindestens der Standardwert eingetragen ist. Auch ist es jetzt möglich je Profilfeld eigene Prüfregeln mittels Regex zu hinterlegen. Diese Regeln werden ergänzend zu den fest implementierten Regeln für ein Feld dann geprüft. Zudem ist es nun möglich einzelne Profilfelder nur für die Registrierung zum Pflichtfeld zu machen. Dies kann z.B. bei der E-Mail-Adresse sinnvoll sein, da man die bei registrierten Mitglieder benötigt, aber vielleicht nicht alle manuell angelegten Mitglieder eine bekannte E-Mail-Adresse haben.
Änderungen in der Bedienung
Die offensichtlichsten Änderungen seht ihr direkt beim Aufruf der neuen Version. Alle Funktionen zu einzelnen Seiten / Modulen findet ihr nun nicht mehr in der Seitenleiste, sondern unter der Überschrift der jeweiligen Seite aufgelistet. Dadurch bleibt das Menü statischer und überschaubarer. Auch die Funktionen sind hierdurch besser sichtbar.
Im Kopf jeder Seite findet ihr nun die sogenannten Breadcrumbs. Diese ersetzen die Zurück-Navigation auf jeder Seite und bringen mehr Übersicht in die Navigation.
Weitere Änderungen
- Benachrichtigungen über Änderungen können jetzt an eine Rolle verschickt werden und nicht mehr nur an eine E-Mail-Adresse.
- Datum und Uhrzeit sind jetzt entsprechende HTML-Felder, so dass es beim Ausfüllen nun eine Hilfe vom Browser gibt.
- Kommt es bei einem Update zu einem Fehler, so bleibt das Update nun an dieser Stelle stehen und kann später genau an dieser Stelle fortgesetzt werden. Bisher konnte es vorkommen, dass das Update dennoch bis zum Ende durchlief und ggf. einzelne Schritte nicht umgesetzt wurden.
- Wird ein neuer Ordner, welcher über FTP hochgeladen wurde, im Dokumente und Dateien Modul hinzugefügt, so wird jetzt der Ordner mit allen Dateien und Unterordnern hinzugefügt. Bisher mussten alle Unterordner und Dateien einzeln hinzugefügt werden.
- Kompatibilität mit PHP 8.2
We have set up a new wiki page about the profile. If you are interested please have a look at the page and give us some feedback within the forum.
Admidio 4.1 has received several improvements to prevent cross-site scripting (XSS) attacks, which we would like to present here. This should also encourage you to update to version 4.1 as soon as possible.
The most obvious change you might stumble over first is the change from the ID in a URL to the UUID (Universal unique identifier). This turns the unique ID of a record in a table e.g. 298 into a longer unique UUID e.g. 123e4567-e89b-12d3-a456-426614174000 . We have introduced these UUIDs at all places in the program where IDs are called via the URL. What is the advantage of this new identification of a record? With the old ID, you quickly notice that it is simply incremented by one digit with each data record. So as an attacker I can easily build a script that calls the URL to delete a member in a loop.
https://www.meine-seite.de/admidio/adm_program/modules/members/members_function.php?mode=3&id=1
https://www.meine-seite.de/admidio/adm_program/modules/members/members_function.php?mode=3&id=2
https://www.meine-seite.de/admidio/adm_program/modules/members/members_function.php?mode=3&id=3
...
Now all I have to do is direct a logged in administrator to my website and run this script. Then all members are deleted.
With the UUID I can not do this so easily, because I do not know the IDs. These are almost worldwide unique and can not be traced. To create such a script as an attacker, he would need access to your member administration beforehand and would have to read out the UUIDs of the members.
If you have previously stored links with an ID somewhere, you must now adapt them.
The previous URL: https://www.meine-Seite.de/admidio/adm_program/modules/profile/profile.php?user_id=1 must be changed to the following URL: : https://www.meine-Seite.de/admidio/adm_program/modules/profile/profile.php?user_uuid=123e4567-e89b-12d3-a456-426614174000
A list of all possible transfers to the modules can be found in our wiki.
Another change in Admidio 4.1 is the introduction of a CSRF token. This is a longer random ID which is regenerated with every page visit. The token is now sent to the server with every form and every executing call. The server compares the sent token with the token stored there and executes the function only if these two tokens are identical. With this adjustment it can be prevented that someone executes a link, e.g. the one above, on a foreign web page. The foreign site usually does not know your current session token.
Both adjustments make your site more secure against so called Cross-Site-Scripting (XSS) attacks where the attacker leads logged in users to his site to execute his customized scripts. It was and is not possible to execute a script directly on your installation, which changes data without the user consciously doing so.
---------------------------------------------------------------------------------
Admidio 4.1 hat verschiedene Verbesserungen zur Prävention von Cross-Site-Scripting (XSS) Attacken bekommen, welche wir hier kurz vorstellen wollen. Dies soll euch auch dazu animieren möglichst zeitnah auf die Version 4.1 zu aktualisieren.
Die offensichtlichste Änderung über die ihr vielleicht auch als erstes stolpern werdet, ist die Umstellung von der ID in einer URL zu der UUID (Universal unique identifier). Damit wird aus der eindeutigen ID eines Datensatzes in einer Tabelle z.B. 298 eine längere einzigartige UUID z.B. 123e4567-e89b-12d3-a456-426614174000 . Diese UUIDs haben wir an allen Stellen im Programm eingeführt an denen IDs über die URL aufgerufen werden. Was ist der Vorteil dieser neuen Identifikation eines Datensatzes? Bei der alten ID stellt man schnell fest, dass diese mit jedem Datensatz einfach um eine Stelle hochgesetzt wird. Als Angreifer kann ich also leicht ein Script bauen, welches die URL zum Löschen eines Mitglieds in einer Schleife aufruft.
https://www.meine-seite.de/admidio/adm_program/modules/members/members_function.php?mode=3&id=1
https://www.meine-seite.de/admidio/adm_program/modules/members/members_function.php?mode=3&id=2
https://www.meine-seite.de/admidio/adm_program/modules/members/members_function.php?mode=3&id=3
…
Nun muss ich nur noch einen angemeldeten Administrator auf meine Webseite leiten und dieses Script ausführen lassen. Anschließend sind dann alle Mitglieder gelöscht.
Mit der UUID kann ich dies nicht so einfach machen, da ich die IDs nicht kenne. Diese sind nahezu weltweit einmalig und können nicht nachvollzogen werden. Um so ein Script als Angreifer zu erstellen, bräuchte er vorher Zugang zu eurer Mitgliederverwaltung und müsste die UUIDs der Mitglieder auslesen.
Habt ihr vorher irgendwo Links mit einer ID hinterlegt, so müsst ihr diese nun anpassen.
Die bisherige URL: https://www.meine-Seite.de/admidio/adm_program/modules/profile/profile.php?user_id=1 muss auf folgende URL geändert werden: : https://www.meine-Seite.de/admidio/adm_program/modules/profile/profile.php?user_uuid=123e4567-e89b-12d3-a456-426614174000
Eine Auflistung aller möglichen Übergaben zu den Modulen findet ihr in unserem Wiki.
Eine weitere Änderung von Admidio 4.1 ist die Einführung eines CSRF-Token. Dies ist eine längere zufällige ID, welche bei jedem Seitenbesuch neu generiert wird. Das Token wird jetzt mit jedem Formular und jedem ausführenden Aufruf mit an den Server geschickt. Dieser vergleicht das gesendete Token mit dem dort hinterlegten Token und führt die Funktion nur aus, sofern diese beiden Token identisch sind. Mit dieser Anpassung kann verhindert werden, dass jemand auf einer fremden Webseite einen Link, wie z.B. den oberen ausführt. Die fremde Seite kennt i.d.R. nicht euer aktuelles Session-Token.
Beide Anpassungen machen eure Seite sicherer gegen sogenannte Cross-Site-Scripting (XSS) Attacken bei der der Angreifer angemeldete Benutzer auf seine Seite führt um dort dann seine angepassten Skripte ausführen zu lassen. Es war und ist bisher nicht möglich gewesen direkt auf eurer Installation ein Script auszuführen, welches Daten verändert, ohne dass der Benutzer dies bewusst durchgeführt hat.
What is new in Admidio 4.1?
We have made a lot of changes within Admidio 4.1. You can find a list of all changes at GitHub. Within this article we will describe the main changes.
Category Report
The Category Report plugin is now tightly integrated into Admidio. Here you have the possibility to evaluate the assignment of members to roles or categories. The evaluation can be freely configured and saved.
Import users
It is now possible to import an Excel file or an Open Document file directly in addition to a pure CSV file. You can simply select this in the import dialog. Depending on the format, there are further options available, such as the selection of the spreadsheet for Excel or the separator for the CSV file.
When assigning the fields from the file to the profile fields, the system now suggests an assignment, provided that the names in the file correspond to the profile field names. The suggestion can be edited, of course.
A new feature for administrators is the import of access data. If a user does not yet have access data, you can now import the user name and password. The corresponding users can then log in to the system directly with this data.
User management
You can now create your own list in the user administration. The fields of the list are then displayed as columns in the user administration. Thus you have now a possibility to adapt the user administration to your needs.
Messages
In the area of messages and e-mails a lot has been done in this version. You can now save the e-mail attachments, so that you also have the possibility to view sent file attachments via the Admidio interface in the future.
You can now use already sent e-mails as a template for a new e-mail. You can also forward sent e-mails.
In the system settings there is now the possibility to create a test e-mail. This allows you to quickly test your settings. With this function there is also an extended error output, which supports you better in case of a wrong configuration, so that you can find the error in the configuration faster.
Password forgotten
The "Forgot password" function has been completely revised. After entering your username or email address, you will now receive an email with a link to reset your password. If you click on the link, you will be taken to your website and you will have to enter a new password yourself. For security reasons, no new password will be sent via e-mail. Also, the password reset link is only valid for half an hour to reduce possible misuse.
Change notifications
With this version it is now possible that changes to profile data and changes to role memberships are sent as e-mail notifications to an administrator. The previous value of a profile field, as well as the newly assigned value of a profile field is sent. This allows data changes to be quickly reviewed by others. The function is optional and must be actively switched on.
Other Changes
- Chat in the message module has been removed from Admidio.
- When registering, all data from the registration can now be optionally transferred for already existing users.
- Finnish translation was added
-------------------------------------------------------------------------------------------
Was ist neu in Admidio 4.1?
Wir haben viele Änderungen in Admidio 4.1 vorgenommen. Sie können eine Liste aller Änderungen auf GitHub finden. In diesem Artikel werden wir die wichtigsten Änderungen beschreiben.
Kategoriereport
Das Plugin Kategoriereport ist jetzt fest in Admidio integriert. Ihr habt hier die Möglichkeit die Zuordnung von Mitgliedern zu Rollen oder Kategorien auszuwerten. Die Auswertung kann dabei frei konfiguriert und abgespeichert werden.
Benutzer importieren
Es ist jetzt möglich neben einer reinen CSV-Datei auch direkt eine Exceldatei oder eine Open-Document-Datei zu importieren. Ihr könnt dies im Importdialog einfach auswählen. Je nach Format stehen euch noch weitere Optionen zur Verfügung, wie z.B. die Auswahl des Tabellenblatts bei Excel oder das Trennzeichen bei der CSV-Datei.
Bei der Zuordnung der Felder aus der Datei zu den Profilfeldern schlägt das System jetzt eine Zuordnung vor, sofern die Namen in der Datei den Profilfeldnamen entsprechen. Der Vorschlag kann natürlich bearbeitet werden.
Neu hinzugekommen ist für Administratoren der Import von Zugangsdaten. Sofern ein Benutzer noch keine Zugangsdaten besitzt, könnt ihr Benutzername und Passwort nun importieren. Die entsprechenden Benutzer können sich anschließend direkt mit diesen Daten im System anmelden.
Benutzerverwaltung
In der Benutzerverwaltung könnt ihr nun eine eigene Liste hinterlegen. Es werden anschließend die Felder der Liste als Spalten in der Benutzerverwaltung angezeigt. Somit habt ihr nun eine Möglichkeit die Benutzerverwaltung an eure Bedürfnisse anzupassen.
Nachrichten
Im Bereich der Nachrichten und E-Mails hat sich sehr viel in dieser Version getan. Ihr könnt nun die E-Mail-Anhänge speichern, so dass ihr auch über die Admidio-Oberfläche zukünftig die Möglichkeit habt euch versendete Dateianhänge anzuschauen.
Bereits versendete E-Mails könnt ihr nun als Vorlage für eine neue E-Mail nehmen. Dazu könnt ihr versendete E-Mails weiterleiten.
In den Systemeinstellungen gibt es bei den E-Mails jetzt die Möglichkeit eine Test-E-Mail zu erzeugen. Damit könnt ihr eure hinterlegten Einstellungen schnell testen. Bei dieser Funktion gibt es auch eine erweiterte Fehlerausgabe, die euch bei einer falschen Konfiguration besser unterstützt, so dass ihr den Fehler in der Konfiguration schneller finden könnt.
Passwort vergessen
Die Funktion „Passwort vergessen“ ist komplett überarbeitet worden. Nachdem ihr dort den Benutzernamen oder die E-Mail-Adresse eingegeben habt, bekommt ihr jetzt eine E-Mail mit einem Link zum Zurücksetzen eures Passworts zugeschickt. Klickt ihr auf den Link, so landet ihr auf eurer Webseite und müsst selber ein neues Passwort vergeben. Aus Sicherheitsgründen wird jetzt kein neu generiertes Passwort über E-Mail versendet. Auch der Link zum Zurücksetzen des Passworts ist nur eine halbe Stunde gültig um einen möglichen Missbrauch zu reduzieren.
Änderungsbenachrichtigungen
Mit dieser Version ist es jetzt möglich, dass Änderungen an Profildaten und Änderungen an Rollenzugehörigkeiten als E-Mail-Benachrichtigungen an einen Administrator versendet werden. Es wird der bisherige Wert eines Profilfelds, sowie der neu zugeordnete Wert eines Profilfelds versendet. Somit können Datenänderungen von anderen schnell überprüft werden. Die Funktion ist optional und muss aktiv eingeschaltet werden.
Weitere Änderungen
- Der Chat im Nachrichtenmodul wurde aus Admidio entfernt.
- Bei der Registrierung können jetzt optional bei bereits existierenden Benutzern alle Daten aus der Registierung übernommen werden.
- Die finnische Übersetzung wurde hinzugefügt
We have just made major updates to our wiki software (DokuWiki) and our forum software (phpbb). The look and feel should nearly be the same as before. But if you encounter any problems with the new software just open a new thread in the forum and tell us about the problem or your suggestion for improvement.
----------------------
Wir haben gerade größere Aktualisierungen unserer Wiki-Software (DokuWiki) und unserer Foren-Software (phpbb) vorgenommen. Das Look and Feel sollte fast das gleiche sein wie zuvor. Sollten ihr jedoch Probleme mit der neuen Software haben, so erstellt einfach einen neuen Thread im Forum und teilt uns das Problem oder euren Verbesserungsvorschlag mit.
Within version 4 of Admidio it's possible to add a country specific translation of a language. We have already implement this for portuguese. So there is the language portuguese with the language code pt that will represent the language spoken within Portugal. In addition to that we add portuguese brazilian with the language code pt-BR that will represent the language that is spoken in Brazil.
Now if you like to add translations for example German-Swiss or German-Austria please write us a short line and we will try to do the necessary steps with you.
Since version 3.0 it's possible to use e-mail templates within Admidio. This was a hidden feature because there was no preference that could be set or something like a documentation.
Now we have improve this feature within version 4.0 and therefore created a small documentation which also describe the usage in Admidio 3.x. So have a look at this documentation and have a small preview of a enhancement in the next version. (There is no release date now available for version 4)
Here you can read about it:
