Sicherheitsupdate 01/2023

Allgemeine Informationen

In diesem Update haben wir Sicherheitslücken der Bedrohungsstufe "kritisch" und "mittel" beheben können. Betroffen sind alle Shopware Versionen bis einschließlich 6.4.18.0. Folgende Sicherheitslücken wurde mit diesem Update behoben:

NEXT-24667 - Remote code execution via Twig template functions.
NEXT-24679 - Logging data can contain sensitive information of password reset mails.
NEXT-24677 - Administration session is not cleared after long inactivity.
NEXT-23325 - Possibility to bypass selling limits within the checkout process.
NEXT-22891 - Newsletter route does not consider double-opt-in settings.

Wir empfehlen ein Update auf die aktuelle Version 6.4.18.1 durchzuführen. Das Update auf 6.4.18.1 kann direkt über den Auto-Updater oder manuell über das Download-Paket bezogen werden.
https://www.shopware.com/de/download/#shopware-6

Für ältere Versionen stehen entsprechende Sicherheitsmaßnamen ebenfalls über das allgemeine Sicherheits-Plugin zur Verfügung.
https://store.shopware.com/detail/index/sArticle/518463/number/Swag136939272659