Shopware Sicherheitsupdate 6.5.8.18 veröffentlicht
Liebe Leser,
vor wenigen Stunden ist die neue Shopware Version 6.5.8.18 erschienen. Es handelt sich dabei um ein Sicherheitsupdate, das zwei Sicherheitslücken schließt. Wir raten Ihnen deshalb, so bald wie möglich ein Update auf diese neue Version vorzunehmen. Nähere Infos erfahren Sie in diesem Beitrag.
Im Zuge von Shopware 6.5.8.18 wurden die folgenden beiden Schwachstellen behoben:
- In der Shopware Application API gibt es eine Suchfunktion, über die User nach gespeicherten Informationen innerhalb der Shopware-Instanz suchen können. Mithilfe der Parameter im Objekt „aggregations“ können die durch diese Funktion ausgeführten Suchvorgänge aggregiert werden. Das Feld „name“ innerhalb eines verschachtelten Objekts in „aggregations “ war hier anfällig für SQL-Injektionen. Angreifer konnten diese Schwachstelle ausnutzen und durch die Übergabe von SQL-Parametern an sensible Informationen gelangen.
- Angreifer hatten über die Store-API die Möglichkeit zu prüfen, ob eine bestimmte E-Mail-Adresse als Konto im Shop registriert ist.
Weitere Informationen zum Update finden Sie auf shopware.com. Wenn Sie unseren Shopware Support nutzen, dann übernehmen wir die Installation des Updates selbstverständlich gerne für Sie.