Shopware Sicherheitsupdates 6.5.8.17 und 6.6.10.3 veröffentlicht
Liebe Leser,
heute Mittag sind die beiden neuen Shopware Versionen 6.5.8.17 und 6.6.10.3 erschienen. Es handelt sich dabei um Sicherheitsupdates, die nicht nur Fehlerbehebungen und Verbesserungen mit sich bringen, sondern auch vier Sicherheitslücken schließen. Näheres erfahren Sie in diesem Beitrag.
Die Sicherheitslücken betreffen Shopware sowohl in der 6.5.x als auch in der 6.6.x Version. Im Zuge der Updates wurden die folgenden Schwachstellen behoben:
- Das „aggregations“ Objekt der Suchfunktion, die in der Shopware Application API enthalten ist, war anfällig für SQL-Injektionen.
- Eine fehlerhafte Zugriffskontrolle (ACL) bei der Dokumentenabfrage ermöglichte den Zugriff auf Dokumente anderer Kunden.
- Es war möglich, über Formulare im Storefront oder über die Store-API DoS-Angriffe durch die Übermittlung von sehr langen Passwörtern auszuführen.
- Angreifer hatten über die Store-API die Möglichkeit zu prüfen, ob eine bestimmte E-Mail-Adresse als Konto im Shop registriert ist.
Der Schweregrad dieser vier Sicherheitslücken reicht von niedrig bis hoch, weshalb wir Ihnen dringend raten, ein Update auf eine der beiden Versionen vorzunehmen.
Mit Shopware 6.5.8.17 wurden aber nicht nur Sicherheitslücken geschlossen, sondern auch Fehlerbehebungen vorgenommen. Diese wollen wir Ihnen selbstverständlich auch nicht vorenthalten.
So wurde unter anderem der HTML Sanitizer verbessert. Denn hier kam es zu Problemen, wenn HTML Code im Header oder Footer von E-Mails enthalten war. Auch wenn der HTML Sanitizer eigentlich für Mail-Vorlagen deaktiviert war, führte er trotzdem eine Bereinigung des HTML Codes durch. Dies führte dann zu fehlerhaftem HTML Code und damit auch zu einer fehlerhaften Darstellung von Mails. Shopware 6.5.8.17 sorgt nun dafür, dass der HTML Code in Header- und Footer-Elementen nicht mehr bereinigt wird.
Außerdem wurde ein Problem gelöst, das die Elasticsearch Suche für Admins betraf. Wenn einer Bestellung mehrere Dokumente zugeordnet waren, dann funktionierte die Suchfunktion nur mit einer der Dokumentennummern. Im Zuge des Updates wurden jetzt Trennzeichen zu den Suchabfragen des Elasticsearch-Indexers hinzugefügt, sodass die Suchfunktion ab sofort mit mehreren Dokumentennummern funktioniert.
Zu guter Letzt wurde mit Shopware 6.5.8.17 ein Ereignis ergänzt, das es ab sofort ermöglicht, Varianten auf der Produktdetailseite auszuwählen. Dies war bei vorherigen Shopware 6.5.x Versionen nicht möglich.
Weitere Informationen zu den beiden Updates finden Sie auf shopware.com. Wenn Sie unseren Shopware Support nutzen, dann übernehmen wir die Installation der Updates selbstverständlich gerne für Sie.