Shopware Sicherheitsupdates 6.7.8.1 und 6.6.10.15 veröffentlicht
Liebe Leser,
gestern sind die beiden neuen Shopware Versionen 6.7.8.1 und 6.6.10.15 erschienen. Es handelt sich dabei um zwei Sicherheitsupdates, weshalb wir Ihnen dringend dazu raten, eine der beiden neuen Versionen zu installieren. Nur so ist Ihre Shopware Umgebung weiterhin optimal geschützt. Nähere Details erfahren Sie in diesem Blogbeitrag.
Im Zuge von Shopware 6.7.8.1 und 6.6.10.15 wurden die folgenden Schwachstellen behoben:
- Es gab eine Schwachstelle im Shopware-App-Registrierungsprozess, durch die es Angreifern unter Umständen möglich war, den Kommunikationskanal zwischen Shop und App zu übernehmen. Durch Missbrauch der erneuten App‑Registrierung war es möglich, den App‑Datenverkehr auf eine angreiferkontrollierte Domain umzuleiten und potenziell API‑Zugangsdaten abzufangen, die für den legitimen Shop bestimmt waren.
- Der Store-API-Login-Endpoint gab unterschiedliche Fehlercodes zurück, je nachdem, ob die übermittelte Mail-Adresse einem registrierten Kunden gehörte oder unbekannt war. Dadurch war es Angreifern möglich, ohne Authentifizierung festzustellen, ob ein Kundenkonto existiert.
- Die fehlende Validierung der Filtertypen erlaubte unautorisierte Einsicht in fremde Bestellungen.
Weitere Informationen zu den Updates finden Sie auf shopware.com. Wenn Sie unseren Shopware Support nutzen, dann übernehmen wir die Updates selbstverständlich gerne für Sie.