In diesem Sicherheitsrelease haben wir Sicherheitslücken der Bedrohungsstufen "medium" und "kritisch" schließen können. Alle genannten Probleme wurden durch einen internen Penetration-Test erkannt. Betroffen sind die Shopware Versionen von 6.1.0 bis einschließlich 6.4.3.0. Folgende Sicherheitslücken wurden mit diesem Sicherheitsupdate behoben:
NEXT-15601: Produkt Bewertungen von anderen Benutzern konnten via API manipuliert werden.
NEXT-15671: Authentifizierte Server-Side Request Forgery beim Datei-Upload via URL.
NEXT-15677: Cross-Site Scripting in SVG Dateien.
NEXT-15675: Unsicherer Zugriff auf Log-Dateien im Import/Export Modul.
NEXT-15669: Unzureichende Zugriffsbeschränkung der Mailer-Konfiguration.
Wir empfehlen ein Update auf die aktuelle Version 6.4.3.1 durchzuführen. Das Update auf 6.4.3.1 kannst Du regulär über den Auto-Updater beziehen oder direkt über unsere Download-Übersicht.
https://www.shopware.com/de/download/#shopware-6
Für ältere Versionen der 6.3 und abwärts, stehen entsprechende Sicherheitsmaßnamen ebenfalls über ein Plugin zur Verfügung.
https://store.shopware.com/detail/index/sArticle/518463/number/Swag136939272659