In diesem Sicherheitsrelease haben wir neben den gewohnten Fehlerkorrekturen eine kritische Sicherheitslücke behoben, sowie zwei weitere Verbesserungen zur allgemeinen Sicherheit vorgenommen. Betroffen sind die Shopware Versionen von 6.1.0 bis einschließlich 6.3.5.0. Folgende Sicherheitslücken wurden mit diesem Sicherheitsupdate behoben:
NEXT-13371 - Leak of information via Store-API
NEXT-12824 - Generation of fake documents via public GET-call
NEXT-13247 - Improvement of API token invalidation
Die Sicherheitslücke NEXT-13371 konnte nur durch eine Umstellung des API Systems behoben werden, was eine nicht abwärtskompatible Änderung beinhaltet. Es sollten nur Konsumenten der Store-API von dieser Änderung betroffen sein. Bitte überprüfe Deine Plugins, falls Du diese verwendets. Detaillierte technische Informationen findest Du in den Upgrade Informationen.
Wir empfehlen ein Update auf die aktuelle Version 6.3.5.1 durchzuführen. Das Update auf 6.3.5.1 kannst Du regulär über den Auto-Updater beziehen oder direkt über unsere Download-Übersicht.
https://www.shopware.com/de/download/#shopware-6
Für ältere Versionen der 6.1 und 6.2 stehen entsprechende Sicherheitsmaßnamen ebenfalls über ein Plugin zur Verfügung. Für den vollen Funktionsumfang empfehlen wir das Update auf die neueste Shopware Version.
https://store.shopware.com/detail/index/sArticle/518463/number/Swag136939272659
