Wichtige Sicherheitsupdates in Shopware v6.5.8.13 veröffentlicht

Am 8. August 2024 wurde die Version v6.5.8.13 von Shopware veröffentlicht, die eine Reihe wichtiger Sicherheitsupdates und Verbesserungen enthält. In diesem Beitrag werden die Änderungen detailliert beschrieben.

Sicherheitsupdates

In der neuen Version wurden mehrere sicherheitsrelevante Probleme behoben:

• Blind SQL-Injection in DAL Aggregationen: Eine potenzielle Schwachstelle, die eine Blind-SQL-Injection erlaubte, wurde behoben. Dies betrifft die Daten-Aggregationen in der DAL (Data Abstraction Layer). Details finden Sie in der Sicherheitsberatung von GitHub.
• Server Side Template Injection in Twig unter Verwendung von Kontextfunktionen: Eine Schwachstelle, die unter bestimmten Umständen eine Server Side Template Injection (SSTI) in Twig ermöglichte, wurde ebenfalls adressiert (GHSA-35jp-8cgg-p4wj).
• Server Side Template Injection in Twig unter Verwendung des Deprecation Silence Tags: Ein weiteres Problem, das eine SSTI durch die Nutzung des Deprecation Silence Tags in Twig ermöglichte, wurde behoben (GHSA-27wp-jvhw-v4xp).
• Unzureichende Zugriffskontrolle mit ManyToMany-Associations in der Store-API: Ein Problem der unzureichenden Zugriffskontrolle wurde behoben. Es trat bei der Verwendung von ManyToMany-Associations in der Store-API auf und konnte unter bestimmten Bedingungen zu unberechtigtem Zugriff führen (GHSA-hhcq-ph6w-494g).

Verbesserungen und Fehlerkorrekturen

Zusätzlich zu den sicherheitsrelevanten Updates wurden mehrere Verbesserungen und Fehlerkorrekturen implementiert:

• Twig Array-Filter: Die Möglichkeit, dass Twig Array-Filter null akzeptieren, wurde hinzugefügt.
• Änderung des Standardempfängers für Mails des Flow Builders: Der Standardempfänger für Mails, die über den Flow Builder beim Produktbewertungs-Trigger gesendet werden, wurde geändert.
• Verwaltung von Bestellungen im Adminbereich: Ein Fehler wurde behoben, durch den die Verwaltung von Bestellungen nicht funktionierte, wenn die Systemstandard-Sprache im Verkaufskanal nicht verfügbar war.
• Speicherung der Bestellsprache: Die ausgewählte Bestellsprache wurde bei manuell erstellten Bestellungen nicht korrekt gespeichert. Dieses Problem wurde behoben.
• Priorisierung des StoreApiSeoResolvers: Die Priorisierung des StoreApiSeoResolvers wurde korrigiert und es wurde ein Kontext-Check hinzugefügt, bevor darauf zugegriffen wird.
• Automatisch angewandte Promotionen: Ein Fehler, der dafür sorgte, dass automatisch angewandte Promotionen nach dem Speichern der Bestellung nicht funktionierten, wurde behoben.
• Korrekte Pfadangabe für Bundle-Assets: Der Pfad für Bundle-Assets wurde korrigiert.
• Verbesserungen am Context-Objekt: Verschiedene Verbesserungen am Context-Objekt wurden vorgenommen.
• Korrektur der Versandadresse in den Bestelldetails: Ein Fehler, bei dem die Versandadresse in den Bestelldetails nach Änderungen nicht korrekt gespeichert wurde, wurde behoben.
• Validierung des Aggregationsnamens: Die Validierung des Aggregationsnamens wurde verbessert.
• Validierung des Silent Tokens für Features: Die Validierung des Silent Tokens für Features wurde verbessert.
• Fehlende Anrede bei der Kundenanlage: Ein Fehler, der zu einer fehlenden Anrede bei der Erstellung eines Kunden führte, wurde behoben.
• Leere Ergebnisse von Steueranbietern: Leere Ergebnisse von Steueranbietern werden jetzt akzeptiert.

Diese Änderungen bieten wesentliche Updates für Benutzer und Entwickler, indem sie die Sicherheit erhöhen und die Funktionalität und Benutzerfreundlichkeit des Systems verbessern. Alle technischen Änderungen und Details sind in der UPGRADE.md dokumentiert.