In diesem Sicherheitsrelease haben wir neben den gewohnten Fehlerkorrekturen und Optimierungen auch Sicherheitslücken der Bedrohungsstufen "leicht" und „mittel“ schließen können. Betroffen sind die Shopware Versionen von 6.1.0 bis einschließlich 6.3.4.0. Folgende Sicherheitslücken wurden mit diesem Sicherheitsupdate behoben:
NEXT-12359: Information exposure via query strings in URL
NEXT-9689: Authenticated Server Side Request Forgery
NEXT-12230: Authenticated Privilege Escalation
Wir empfehlen ein Update auf die aktuelle Version 6.3.4.1 durchzuführen. Das Update auf 6.3.4.1 kannst Du regulär über den Auto-Updater beziehen oder direkt über unsere Download-Übersicht.
https://www.shopware.com/de/download/#shopware-6
Für ältere Versionen der 6.1 und 6.2 stehen entsprechende Sicherheitsmaßnamen ebenfalls über ein Plugin zur Verfügung. Diese beinhalten allerdings nicht den vollen Funktionsumfang im Bereich der nachträglichen Bearbeitung von Bestellungen, welche über ein Gastkonto erstellt wurden, sondern verhindern nur einen Missbrauch durch Deaktivierung der Funktion. Für den vollen Funktionsumfang empfehlen wir das Update auf die neueste Shopware Version.
https://store.shopware.com/detail/index/sArticle/518463/number/Swag136939272659
