In diesem Update haben wir mehrere Sicherheitslücken der Bedrohungsstufe "kritisch" bis "moderat" beheben können. Betroffen sind alle Shopware Versionen bis einschließlich 6.5.7.3. Folgende Sicherheitslücken wurden mit diesem Update behoben:
NEXT-32886 Server-Side Request Forgery (SSRF) in Flow Builder
NEXT-32887 Time-based blind SQL-injection Shopware CMS Search API
NEXT-32889 Broken Access Control order API
NEXT-33027 Vulnerability in composer package: dompdf/dompdf
Wir empfehlen ein Update auf die aktuelle Version 6.5.7.4 durchzuführen. Das Update auf 6.5.7.4 kann direkt über den Auto-Updater oder manuell über das Download-Paket bezogen werden.
https://www.shopware.com/de/download/#shopware-6
Für die Sicherheitslücke NEXT-32886 ist darüber hinaus ein Update der Commercial Erweiterung auf 5.7.4 erforderlich.
Für ältere Versionen stehen entsprechende Sicherheitsmaßnamen ebenfalls über das allgemeine Sicherheits-Plugin zur Verfügung. Dies betrifft auch die Sicherheitsmaßnahme, die in der Commercial Erweiterung enthalten ist.
https://store.shopware.com/de/swag136939272659f/shopware-6-sicherheits-plugin.html
