In diesem Sicherheitsrelease haben wir neben den gewohnten Fehlerkorrekturen und Optimierungen auch Sicherheitslücken der Bedrohungsstufen „medium“ schließen können. Betroffen sind die Shopware Versionen von 6.1.0 bis einschließlich 6.4.1.0. Folgende Sicherheitslücken wurden mit diesem Sicherheitsupdate behoben:
NEXT-14744: Private Dateien sind über externen Storage-Provider öffentlich zugänglich.
NEXT-14883: Erstellte Integrationen haben im Standard immer Admin-Rechte.
NEXT-15183: Die API Route für das Stornieren von Bestellungen berücksichtigt nicht den Kunden-Scope.
Wir empfehlen ein Update auf die aktuelle Version 6.4.1.1 durchzuführen. Das Update auf 6.4.1.1 kannst Du regulär über den Auto-Updater beziehen oder direkt über unsere Download-Übersicht.
https://www.shopware.com/de/download/#shopware-6
Für ältere Versionen der 6.3 und abwärts, stehen entsprechende Sicherheitsmaßnamen ebenfalls über ein Plugin zur Verfügung.
https://store.shopware.com/detail/index/sArticle/518463/number/Swag136939272659
Solltest Du einen externen Storage-Provider im Einsatz haben, empfehlen wir den CLI-Befehl "s3:set-visibility" nach dem Update auszuführen, um mögliche Berechtigungsprobleme zu beheben.
Für eine korrekte Konfiguration Deiner externen Storage-Provider solltest Du folgende Einstellungsanpassung berücksichtigen:
https://github.com/shopware/docs/commit/cd9385be9bf5f618dff165eafe98eebb5a8a3efd
Die Verwendung von externen Storage-Providern ist hier dokumentiert:
https://developer.shopware.com/docs/guides/hosting/infrastructure/filesystem
