Indico v3.3.6版本发布：安全修复与功能增强

Indico是一款开源的会议管理系统，广泛应用于学术会议、研讨会等活动的组织与管理。它提供了从活动创建、注册管理到日程安排等全流程解决方案。最新发布的v3.3.6版本带来了重要的安全修复和多项功能改进，同时解决了若干已知问题。

安全修复

本次更新修复了Jinja2模板引擎中的一个沙箱逃逸漏洞(CVE-2025-27516)。虽然该漏洞的影响程度被评估为中低风险，因为它需要管理员权限才能利用，但升级仍然强烈推荐。值得注意的是，Indico中的文档模板通常只能由管理员管理，这在一定程度上限制了漏洞的潜在影响范围。

主要功能改进

在编辑管理方面，新增了"提交者已接受"状态，方便跟踪编辑内容的审批流程。同时，编辑列表中的项目现在会高亮显示自上次查看以来的更新，提高了工作效率。

用户认证系统获得多项增强：现在支持使用电子邮件地址登录，新增了LOCAL_USERNAMES设置可禁用用户名登录仅使用邮箱，密码最小长度默认值从8提高到15，并允许在密码重置过程中为没有本地账户的用户创建新账户。

会议管理功能也有显著提升：PDF版日程表获得全新设计，活动导出/导入工具更加灵活，支持导出整个分类子树。新增了活动设置可强制在添加人员前先进行搜索，防止重复添加。

在隐私和安全方面，错误邮件中的会话cookie值现在会被遮蔽，会话cookie默认设置为SameSite=Lax以防止在第三方iframe中发送。新增了房间预订位置ACL，可授予对位置本身及其所有房间的特权。

用户体验优化

日期选择器的外观得到改进，新增了快捷方式可快速访问分类中最接近当前日期的活动。Markdown编辑器现在支持==text==语法来高亮文本。当会议活动使用会议式日程表时，不再内联显示完整参与者列表，而是链接到会议参与者列表。

搜索功能获得增强：预定义机构现在支持替代名称和更强大的搜索。新增设置可限制房间预订用户查看与其无关的预订信息。

问题修复

本次更新修复了多个问题，包括：编辑操作请求批准时可能出现的错误、用户时区无效导致的错误、特殊字符在分享活动小部件中的编码问题、包含@字符的站点名称导致邮件发送失败等。

注册表单中的价格显示问题、新建房间时设置属性的错误、图片上传权限问题等也都得到了修复。此外，还解决了调查问卷在活动克隆时创建空章节、时间表PDF中时区不准确等问题。

可访问性改进

注册表单的字段验证错误信息现在更加友好。房间预订模块采用了新的日期范围选择器。主区域标题现在成为默认的绕过块目标。单选、多选输入和布尔输入的可访问性都得到了提升。分类列表页面的键盘导航顺序也更加合理。

内部变更

移除了marshmallow-enum依赖项，新增了在注册邮箱验证和登录过程中的信号，可使用自定义消息使流程失败。

Indico v3.3.6版本通过这些更新，进一步提升了系统的安全性、功能性和用户体验，为会议组织者和管理员提供了更强大、更可靠的工具。