[changes]
* Permission "Manage Users and Groups" is split into three permissions to be able to grant access to limited parts of user management.
* The bundled Eclipse Temurin Java VM was updated to version 21.0.8.
 
[changes:de]
* Berechtigung "Benutzer und Gruppen verwalten" wird in drei Berechtigungen geteilt, um nur Anteile des Benutzer-Managements freizugeben zu können.
* Die mitgelieferte Eclipse Temurin Java VM wurde auf Version 21.0.8 aktualisiert.

[bugfixes]
* Fixes a NullPointerException during PDF export with *.otf fonts that do not contain a `Private Dictionary`.

[bugfixes:de]
* Behebt eine NullPointerException beim PDF-Export mit *.otf-Schriftarten, die kein `Private Dictionary` enthalten.

[security]
* *Security Update for CVE-2025-24970*
  * Netty (4.1.91.Final–4.1.117.Final) has a vulnerability in SslHandler that can cause a native crash. Fixed in 4.1.118.Final. Workarounds: disable native SSLEngine or patch manually.
* *Security Update for CVE-2025-48734*
  * Apache Commons BeanUtils updated to version 1.11.0 because of Access Control vulnerability.
* *Security Update for CVE-2025-58057*
  * Netty (4.1.124.Final and below) has a vulnerability when supplied with specially crafted input, BrotliDecoder and certain other decompression decoders will allocate a large number of reachable byte buffers, which can lead to denial of service. BrotliDecoder.decompress has no limit in how often it calls pull, decompressing data 64K bytes at a time. The buffers are saved in the output list, and remain reachable until OOM is hit.

[security:de]
* *Sicherheitsupdate für CVE-2025-24970*
  * Netty (4.1.91.Final-4.1.117.Final) weist eine Sicherheitslücke in SslHandler auf, die einen nativen Absturz verursachen kann. Behoben in 4.1.118.Final. Umgehung: Deaktivieren Sie die native SSLEngine oder patchen Sie manuell.
* *Sicherheitsupdate für CVE-2025-48734*
  * Apache Commons BeanUtils wurden auf Version 1.11.0 aktualisiert, wegen einer Schwachstelle in der Zugangskontrolle.
* *Sicherheitsupdate für CVE-2025-58057*
  * Netty (4.1.124.Final und darunter) weist eine Schwachstelle auf, wenn es mit speziell gestalteten Eingaben versorgt wird. BrotliDecoder und bestimmte andere Dekompressionsdecoder weisen eine große Anzahl erreichbarer Byte-Puffer zu, was zu einem Denial-of-Service führen kann. BrotliDecoder.decompress hat keine Begrenzung hinsichtlich der Häufigkeit, mit der es pull aufruft, und dekomprimiert Daten in Blöcken von jeweils 64 KB. Die Puffer werden in der Ausgabeliste gespeichert und bleiben erreichbar, bis ein OOM auftritt.
