Folgen Sie uns per Folgen Sie uns auf FacebookFolgen Sie uns auf TwitterFolgen Sie uns auf unserem Blog

Shopware 6.4.18.1 veröffentlicht

Liebe Leser,

vor wenigen Stunden ist die neue Shopware 6 Version 6.4.18.1 erschienen. Es handelt sich dabei um ein Sicherheitsupdate, das mehrere Sicherheitslücken behebt. Wir raten Ihnen deshalb dringend dazu, das Update zeitnah durchzuführen.

Insgesamt wurden im Zuge des Updates fünf Sicherheitslücken geschlossen, die der Bedrohungsstufe „mittel“ bis „kritisch“ zuzuordnen sind und alle Shopware 6 Versionen bis einschließlich Shopware 6.4.18.0 betreffen. So blieben Administrationsbenutzer bei früheren Shopware 6 Versionen auch nach längerer Inaktivität weiterhin im Backend angemeldet, was unbefugten Personen den Zugriff auf die Shopware Umgebung ermöglichen konnte. Deshalb wurde mit Shopware 6.4.18.1 dafür gesorgt, dass Administrationsbenutzer ab sofort nach einer Inaktivität von 30 Minuten automatisch abgemeldet werden.

Zudem behebt Shopware 6.4.18.1 auch noch die folgenden vier Sicherheitsrisiken:

NEXT-24667: Möglichkeit zur Remote Codeausführung über Funktionen des Twig Templates

NEXT-24679: Log-Daten können sensible Informationen von Passwort-Reset-Mails enthalten

NEXT-23325: Möglichkeit, Verkaufslimits innerhalb des Checkout-Prozesses zu umgehen.

NEXT-22891: Newsletter-Route berücksichtigt keine Double-Opt-In-Einstellungen.

Des Weiteren wurden noch zwei weitere generelle Verbesserungen an Shopware 6 vorgenommen. So existierten bis jetzt keine Anforderungen an die Mindestlänge von Admin-Passwörtern, was die Gefahr von unsicheren und schwachen Passwörtern erhöhte. Auch damit räumt Shopware 6.4.18.1 erfolgreich auf. Denn das Update bringt neue Konfigurationsmöglichkeiten zu Einstellungen im Bereich „Benutzer & Rechte“ mit sich. Hier können ab jetzt Mindestanforderungen für Admin-Passwörter festgelegt werden.

Außerdem wurde ein Fehlerzustand behoben, der auftrat, wenn bei Nutzern ohne Admin-Rechte ein zu kurzes Passwort eingegeben wurde. Shopware 6.4.18.1 verfügt ab sofort über ein individuelles Fehlerhandling bei zu kurzen Passwörtern für Nutzer sowohl mit als auch ohne Admin-Rechte. Wenn Nutzer, die über Admin-Rechte verfügen, ihr Passwort ändern, bekommen diese nun keine Fehlermeldung mehr ausgegeben.

Weitere Informationen zum Update finden Sie auf shopware.com.

Wenn Sie unseren Shopware Support nutzen, dann übernehmen wir das Update selbstverständlich gerne für Sie.

Teile diesen Beitrag

Kommentieren