Folgen Sie uns per Folgen Sie uns auf FacebookFolgen Sie uns auf TwitterFolgen Sie uns auf unserem Blog

Shopware Sicherheitsupdates 6.6.10.7 und 6.7.3.1 veröffentlicht

Geschrieben von Sarah Niederbühl am in Shopware

Liebe Leser,

gestern Abend sind die beiden neuen Shopware Versionen 6.6.10.7 und 6.7.3.1 erschienen. Es handelt sich dabei um Sicherheitsupdates, die mehrere Sicherheitslücken schließen. Wir raten Ihnen deshalb, so schnell wie möglich ein Update auf eine der beiden neuen Versionen vorzunehmen. Nähere Details zu den geschlossenen Sicherheitslücken erfahren Sie in diesem Blogbeitrag.

Im Zuge von Shopware 6.6.10.7 und 6.7.3.1 wurden die folgenden Schwachstellen behoben:

  • Zusätzliche Filter, die eigentlich den Zugriff auf private Medien über die API verhindern sollten, konnten durch die Verwendung von Aggregationen umgangen werden.
  • Sensible Nutzerdaten wie Nutzernamen, Passwörter oder E-Mail-Adressen konnten durch CSV-Export-Mapping offengelegt werden.
  • Der PDF-Generator, mit dem Rechnungen erstellt werden, enthielt eine Schwachstelle, die eine Server Side Request Forgery (SSRF) ermöglichte. Die Option, eine Notiz zur Rechnung hinzuzufügen, wurde hier nicht ausreichend auf (bösartige) HTML-Zeichen gefiltert.
  • Die Funktion zum Hochladen von Plugins in Shopware war anfällig für Path Traversal. Angreifer konnten auf diese Weise durch manipulierte Uploads auf Verzeichnisse zugreifen, die außerhalb des vorgesehenen Plugin-Pfads lagen und dadurch schädliche Dateien in der Shopware Umgebung ablegen.
  • Durch speziell konstruierte Anfragen war es Kunden möglich, Bestellungen selbst dann zu stornieren, wenn Rückerstattungen eigentlich deaktiviert waren.

Des Weiteren enthalten sowohl Shopware 6.6.10.7 als auch Shopware 6.7.3.1 einige Fehlerbehebungen.

So wurde mit Shopware 6.6.10.7 unter anderem das folgende Problem gelöst:

  • Bei der Generierung von Sitemaps ist es ab sofort möglich, bestimmte Domains auszuschließen. Auf diese Weise lassen sich Sitemaps für Headless-Projekte, die meist über zwei Store-Domains verfügen, nun deutlich unkomplizierter erstellen.

Shopware 6.7.3.1 geht unter anderem mit den folgenden Verbesserungen einher:

  • Admins können mit Elasticsearch nun auch über die Dokumentennummer nach Bestellungen suchen. Vorher lieferte dies keine Ergebnisse.
  • Es ist ab sofort möglich, aktive Kundenadressen zu löschen.
  • Die Rabattkonfiguration „Nur auf ausgewählte Produkte anwenden“ kann ab sofort wieder verwendet werden.

Weitere Informationen zu den Updates finden Sie auf shopware.com.

Wenn Sie unseren Shopware Support nutzen, dann übernehmen wir die Installation der Updates selbstverständlich gerne für Sie.

Teile diesen Beitrag

Kommentieren