Sicherheitsupdate 01/2024

Allgemeine Informationen

In diesem Update haben wir mehrere Sicherheitslücken der Bedrohungsstufe "kritisch" bis "moderat" beheben können. Betroffen sind alle Shopware Versionen bis einschließlich 6.5.7.3. Folgende Sicherheitslücken wurden mit diesem Update behoben:

NEXT-32886 Server-Side Request Forgery (SSRF) in Flow Builder

NEXT-32887 Time-based blind SQL-injection Shopware CMS Search API

NEXT-32889 Broken Access Control order API

NEXT-33027 Vulnerability in composer package: dompdf/dompdf

Wir empfehlen ein Update auf die aktuelle Version 6.5.7.4 durchzuführen. Das Update auf 6.5.7.4 kann direkt über den Auto-Updater oder manuell über das Download-Paket bezogen werden.
https://www.shopware.com/de/download/#shopware-6

Für die Sicherheitslücke NEXT-32886 ist darüber hinaus ein Update der Commercial Erweiterung auf 5.7.4 erforderlich.

Für ältere Versionen stehen entsprechende Sicherheitsmaßnamen ebenfalls über das allgemeine Sicherheits-Plugin zur Verfügung. Dies betrifft auch die Sicherheitsmaßnahme, die in der Commercial Erweiterung enthalten ist.
https://store.shopware.com/detail/index/sArticle/518463/number/Swag136939272659