diff --git a/ChangeLog b/ChangeLog
index 03754d91139e8f1984b2f8a98447ca243ad41b5c..3345c8795c0b4e18788abd2f77a99c1f0ca30454 100644
--- a/ChangeLog
+++ b/ChangeLog
@@ -1,3 +1,53 @@
+28.12.2023 v 5.0.9
+https://gitlab.studip.de/studip/studip/-/issues?milestone_title=Stud.IP+5.0.9&state=all
+- Raumeigenschaften bearbeiten: Eintrag bei Eigenschaftstyp "user" kann nicht gelöscht werden [#988]
+- Courseware: Nach dem Löschen eines Nutzers verbleiben die Daten in den cw_ Tabellen [#1694]
+- OER Lernmaterialien werden nicht richtig dargestellt [#1811]
+- Select2 in der Sidebar: Hauptnavigation liegt über dem Eingabefeld [#1966]
+- Temporäre Rechtevergabe: Änderung unter Berechtigungs-Übersicht löscht alle andern eingetragen temporären Rechte bei einem Raum [#2158]
+- Einträge in forum_visits werden nie abgeräumt [#2738]
+- Fehler beim Löschen einer Einrichtung [#3007]
+- Deaktivierter Eintrag im Aktionsmenü ist mit der Tastatur aktivierbar [#3010]
+- Öffentliche Links zu Coursewareseiten funktionieren nicht [#3241]
+- ILIAS-Schnittstelle: verwendete SOAP-Methoden getUser und deleteUser existieren in ILIAS 8 nicht mehr [#3279]
+- Zentrale Aktionen ("Eintragen" und "Vormerken") auf der Detailseite einer Veranstaltung auch im Content doppeln [#3354]
+- Nummerierung der Datenfelder in den externen Seiten falsch [#3380]
+- Diverse kritische Aktionen über ungeschützten GET Request [#3394]
+- Anzeige "+ 18446744073709551615 unsichtbare Studierende" in der Teilnehmerliste [#3414]
+- LTI-Launch Request werden nicht automatisch erneuert [#3428]
+- Der Aktivitätsstream von fremden Personen lässt sich über die JSON-API abrufen [#3430]
+- Suche nach Namen im Forum findet anonyme Beiträge [#3456]
+- Select2 funktioniert nicht, wenn es zuvor hidden ist [#3471]
+- PHP- Warnungen im Kalender [#3476]
+- PHP - Fehler in den Sprechstunden [#3477]
+- PHP - Fehler in der Benutzerverwaltung [#3480]
+- StudipIcon verwendet `role` als Property und überdeckt damit das HTML-Attribut gleichen Namens [#3492]
+- Undefined property via __set(): response_timeout in xml_rpc_webservice_client.php [#3500]
+- Wort "Studiengruppe: " taucht bei Aktion "Nachricht an alle Gruppenmitglieder verschicken" in Studiengruppen doppelt auf [#3503]
+- Informationen der Bibliotheksdateien LibraryFile nicht sichtbar [#3504]
+- Zuweisung von Rollen an User überprüft die Existenz der übergebenen Rolle nicht korrekt [#3505]
+- PHP - Warnungen in der Veranstaltungsadministration [#3506]
+- Anfragenliste: Semesterfilter filtert nicht korrekt [#3509]
+- Probleme mit dem Redis-Cache in Stud.IP [#3513]
+- Export des Ablaufplans: Call to a member function getFullname() on null [#3515]
+- Safari: Fieldsets kommen nicht mit Flexbox-Layout klar [#3528]
+- Profil -> Einstellungen -> Zwei-Faktor-Authentifizierung passt für root nicht [#3532]
+- Zwei-Faktor-Authentifizierung: Cookie zur 30-tägigen Bindung wird gelöscht, wenn sich jemand anderes im gleichen Browser anmeldet [#3533]
+- Navigation::getItem() gibt keine Informationen über das zurückgegebene Objekt zurück [#3551]
+- Avatarmenü ignoriert gesetzte Attribute am Navigationsobjekt und hat falsche Ausrichtung des Textes zum Icon [#3552]
+- Schwachstellenmeldung [#3572]
+- Mehrere Sprechstunden absagen funktioniert nicht [#3575]
+- Navigation::setImage() überschreibt durch Navigation::setLinkAttributes() gesetzte Attribute [#3577]
+- Blubber: XSS beim Editieren/Zitieren von Beiträgen [#3580]
+- Smileys: Unrestricted File upload (root only) [#3582]
+- Belegungspläne: XSS-Fehler beim Bearbeiten von Belegungen [#3583]
+- Smiley-Verwaltung: XSS-Fehler in Statusmeldung [#3584]
+- Nachrichten: XSS-Fehler beim Anzeigen des Suchergebnisses [#3585]
+- OER-Campus: File upload vulnerabilities [#3586]
+- OER-Campus: Upload von Inhalten möglich, obwohl der OER-Campus nicht aktiviert ist [#3587]
+- XSS über oauth/request_token route [#3594]
+- ILIAS-Schnittstelle: Anlegen von neuen Nutzern schlägt fehl mit Ilias 8 [#3595]
+
 01.11.2023 v 5.0.8
 https://gitlab.studip.de/studip/studip/-/issues?milestone_title=Stud.IP+5.0.8&state=all
 - Dateibereich: „Im OER Campus veröffentlichen“ wird angezeigt, obwohl der OER-Campus erst ab einer höheren Rechtestufe verfügbar ist [#2638]