Shopware 5.6.1

ShopwareSicherheit
Manuela Mörmel

Am 2. September 2019 veröffentlichte Shopware das Update 5.6.1, um eine XSS-Sicherheitslücke zu schließen. Zudem werden mit Shopware 5.6.1 einige Verbesserungen umgesetzt. Erfahren Sie im Beitrag mehr über das Update.

XSS-Sicherheitslücke

Die Abkürzung XSS steht für Cross-Site-Scripting, eine der am häufigsten durchgeführten Angriffsmethode. Mit dem webseitenübergreifenden Scripting wollen Angreifer an vertrauliche Daten gelangen, Anwendungen übernehmen oder Webseiten verändern.

Durch eine Sicherheitslücke lässt sich Schadcode in einen vermeintlich vertrauenswürdigen Kontext (z.B. der Onlineshop) einschleusen. Mit Cross Site Scripting können Angreifer beispielsweise Formulare manipulieren und damit die Daten abgreifen, die Kunden dort hinterlassen. Es gibt drei Arten von XSS-Sicherheitslücken: lokal, persistent oder nicht-persistent (auch als "reflektiertes Cross Site Scripting" bezeichnet). Erfahren Sie mehr über XSS-Sicherheitslücken auf Security Insider.

Bei der Sicherheitslücke in Shopware 5.6.0 handelt sich um eine nicht-persistente XSS-Schwachstelle. Diese Art von XSS-Schwachstellen enthält das geringste Sicherheitsrisiko, da dazu ein hohes Maß an Nutzerinteraktion durchgeführt werden muss. Angreifer könnten beispielsweise gefälschte Mails an Kunden schicken, Formulare oder Seiten des Shops manipulieren. Wenn der Nutzer dann auf einen manipulierten Link klickt oder Daten in dem manipulierten Formular eingibt, wird das schädliche Skript ausgeführt.

Verbesserungen in Shopware 5.6.1

Shopware 5.6.1 bringt einige Optimierungen und Fehlerkorrekturen mit. Dazu zählen unter anderem:

SW-22492 - Double Opt-In-Mails senden nach der Registrierung nun den gleichen Link mehrmals, wenn der Benutzer den Link in seiner Mail noch nicht geöffnet hat.

SW-23839 - Übersetzungen werden nun im Element Blog in den Einkaufswelten unterstützt.

SW-24384 - Gespeicherte Warenkörbe werden auch bei einem Logout und Login wiederhergestellt.

Wir empfehlen Ihnen das neue Update Shopware 5.6.1 zu installieren, um die XSS-Sicherheitslücke in Shopware 5.6.0 zu schließen und von den Optimierungen zu profitieren. Sollte die Installation des Updates nicht möglich sein, empfehlen wir das Sicherheitsplugin 1.1.18 herunterzuladen und zu aktivieren. Falls Sie Probleme bei dem Update haben, unterstützen wir Sie gern.