Sicherheitsupdate für JTL Shop: Wichtige Schwachstelle schnell schließen

Liebe Leser,

wir möchten Sie über eine aktuelle Sicherheitslücke im Shopsystem JTL Shop informieren. Betroffen sind alle Versionen ab 5.0.0. Die Schwachstelle wurde gemeinsam mit dem Sansec Threat Research Team entdeckt und inzwischen analysiert und eingegrenzt. Nach aktuellem Stand gibt es keine Hinweise darauf, dass sie bereits aktiv ausgenutzt wurde. Trotzdem stehen passende Updates zur Verfügung, die zeitnah eingespielt werden sollten.

Was genau ist passiert

Im Rahmen laufender Sicherheitsprüfungen wurde eine Schwachstelle gefunden, die unter bestimmten Bedingungen dazu führen kann, dass Inhalte falsch verarbeitet werden. Technisch handelt es sich um eine sogenannte Server-Side Template Injection (SSTI), die im Zusammenhang mit dem Betreff von E-Mails ausgelöst werden kann.

Einfach gesagt: Wenn ein Angreifer es schafft, speziell manipulierte Inhalte einzuschleusen, könnte das System diese falsch interpretieren. Im schlimmsten Fall könnten dadurch sensible Daten wie Verschlüsselungsschlüssel oder Datenbankzugänge ausgelesen werden. Ab Version 5.4.0 besteht zusätzlich das Risiko einer Remote Code Execution (RCE), bei der im ungünstigen Fall sogar fremder Code auf dem Server ausgeführt werden könnte.

Wichtig ist jedoch: Es gibt aktuell keine Hinweise darauf, dass diese Schwachstelle bereits aktiv ausgenutzt wurde.

Was bereits getan wurde

Die Schwachstelle wurde gemeinsam mit externen Sicherheitsexperten überprüft, bestätigt und klar eingegrenzt. Für alle betroffenen Shop-5-Versionen stehen inzwischen geprüfte Patches zur Verfügung, mit denen sich die Lücke zuverlässig schließen lässt. Damit ist eine direkte Lösung verfügbar, um betroffene Systeme abzusichern.

Was Sie jetzt tun sollten

Wenn Sie einen Shop auf Basis von JTL Shop betreiben, empfehlen wir Ihnen, Ihr System möglichst zeitnah zu aktualisieren. Je nach eingesetzter Version gibt es dabei unterschiedliche Update-Pfade.

Nutzen Sie bereits eine neuere Version wie 5.5.3, 5.6.1 oder 5.7.1, erfolgt die Aktualisierung über den jeweiligen Patch auf die nächsthöhere Version. Wenn Sie noch eine ältere Version im Einsatz haben und kein direktes Upgrade möglich ist, muss die Schwachstelle manuell behoben werden, um den Shop abzusichern.

Nach dem Update

Nach dem Update auf eine gepatchte Version sind in der Regel keine weiteren Maßnahmen erforderlich. Wenn die Schwachstelle in einer älteren Installation manuell behoben wurde, kann im Backend ein Hinweis auf eine veränderte Datei erscheinen. Dies betrifft konkret die Datei /includes/src/Mail/Renderer/SmartyRenderer.php und ist in diesem Fall normal. Der Hinweis verschwindet erst wieder nach einem vollständigen Update auf eine entsprechend gepatchte Version.

Schnelle Hilfe bei Update und Absicherung

Kunden, die unser JTL Shop Hosting nutzen, unterstützen wir selbstverständlich gerne bei der Behebung der Sicherheitslücke. Dies gilt sowohl für ein vollständiges Update auf die neueste Version als auch für die manuelle Absicherung älteren Installationen. Unser Support steht hierfür zur Verfügung und sorgt dafür, dass betroffene Systeme schnellstmöglich wieder in einem abgesicherten Zustand betrieben werden können.

Bei Fragen oder Unterstützungsbedarf können Sie jederzeit unseren Support kontaktieren.