Shopware

Mit der Veröffentlichung der Version v6.6.5.1 am 8. August 2024 wurden mehrere sicherheitsrelevante Probleme in Shopware adressiert. Diese Version konzentriert sich hauptsächlich auf die Behebung von Schwachstellen, um die Sicherheit der Plattform zu erhöhen. Sicherheitskorrekturen Zu den behobenen Sicherheitsproblemen zählen: Blind SQL-Injection in DAL Aggregationen: Dieses Problem wurde durch die Identifikation und Korrektur einer potentiellen Schwachstelle behoben, welche eine SQL-Injection durch nicht validierte Parameter erlaubte (GHSA-p6w9-r443-r752). Server Side Template Injection in Twig mittels Context-Funktionen: Eine Schwachstelle in Twig, die durch die Nutzung von Context-Funktionen zu einer Server Side Template Injection führen konnte, wurde behoben (GHSA-35jp-8cgg-p4wj). Server Side Template Injection in Twig mittels Deprecation Silence Tag: Eine weitere Server Side Template Injection Schwachstelle in Twig, die durch die Verwendung des Deprecation Silence Tags verursacht wurde, wurde korrigiert (GHSA-27wp-jvhw-v4xp). Unzureichende Zugriffskontrolle bei ManyToMany-assoziationen in der Store-API: Eine Schwachstelle, die zu unzureichender Zugriffskontrolle […]

Am 8. August 2024 wurde die Version v6.5.8.13 von Shopware veröffentlicht, die eine Reihe wichtiger Sicherheitsupdates und Verbesserungen enthält. In diesem Beitrag werden die Änderungen detailliert beschrieben. Sicherheitsupdates In der neuen Version wurden mehrere sicherheitsrelevante Probleme behoben: Blind SQL-Injection in DAL Aggregationen: Eine potenzielle Schwachstelle, die eine Blind-SQL-Injection erlaubte, wurde behoben. Dies betrifft die Daten-Aggregationen in der DAL (Data Abstraction Layer). Details finden Sie in der Sicherheitsberatung von GitHub. Server Side Template Injection in Twig unter Verwendung von Kontextfunktionen: Eine Schwachstelle, die unter bestimmten Umständen eine Server Side Template Injection (SSTI) in Twig ermöglichte, wurde ebenfalls adressiert (GHSA-35jp-8cgg-p4wj). Server Side Template Injection in Twig unter Verwendung des Deprecation Silence Tags: Ein weiteres Problem, das eine SSTI durch die Nutzung des Deprecation Silence Tags in Twig ermöglichte, wurde behoben (GHSA-27wp-jvhw-v4xp). Unzureichende Zugriffskontrolle mit ManyToMany-Associations in der Store-API: Ein Problem der unzureichenden […]

In der am 06. August 2024 veröffentlichten Version v6.6.5.0 hat Shopware mehrere bedeutende Anpassungen und Korrekturen vorgenommen. Dieser Blogpost gibt einen Überblick über die wichtigsten Änderungen. Neue Funktionen und Verbesserungen Toggle für Varianten-Generierung: Eine neue Funktion ermöglicht es, auszuwählen, ob Varianten generiert oder nur hinzugefügt werden sollen (NEXT-37141). Intra-Community Lieferkennzeichnung: In allen steuerlich relevanten Dokumenten wurde ein Label für innergemeinschaftliche Lieferungen hinzugefügt (NEXT-36528). Fehlerbehandlung im HttpClient-Service: Der HttpClient-Service wurde mit einer verbesserten Fehlerbehandlung ausgestattet (NEXT-35756). Fehlerbehebungen Bestellungen: Ein Fehler, bei dem Bestellungen fälschlicherweise platziert wurden, wurde behoben (NEXT-337778). CMS-Daten: Probleme bei der Zuordnung von CMS-Daten in verschachtelten Übersetzungen wurden korrigiert (NEXT-36499). SEO-Korrekturen: Die Überschrift für SEO in der Produktdetailseite wurde korrigiert (NEXT-35618). Verbesserungen im Zahlungsprozess Zahlungsabwickler: Es wurden verschiedene Verbesserungen an den Zahlungsabwicklern sowie am allgemeinen Zahlungsprozess vorgenommen (NEXT-31047). Entfernung der Standardzahlungsmethode: Die Standardzahlungsmethode für Kunden wurde entfernt (NEXT-21275). Weitere […]

Am 15. Juli 2024 wurde die Version 6.6.4.1 von Shopware veröffentlicht. Dieses Update bringt eine wichtige Sicherheitsverbesserung mit sich. Hier sind alle wesentliche Änderungen im Überblick: Limitierung der Suchbegriffslänge für MySQL-Suchen In dieser Version wurde die Länge der Suchbegriffe für MySQL-Suchen limitiert. Dies soll die Performance der Datenbank-Suchvorgänge optimieren und potenzielle Sicherheitsrisiken minimieren. Details zu dieser Änderung können in der entsprechenden Dokumentation eingesehen werden: NEXT-37140 - Limit search term length for mysql search. Alle wichtigen technischen Details und weiterführende Informationen zu den Änderungen dieser Version sind in der Datei UPGRADE.md abrufbar. Dieses Update folgt der kontinuierlichen Verpflichtung zur Verbesserung der Sicherheit und Effizienz von Shopware. Beachten Sie, dass keine weiteren Danksagungen, Zukunftsvisionen oder Aussagen über die Community in diesem Blogpost enthalten sind, um eine klare und objektive Darstellung der Neuerungen zu gewährleisten.

In der neuen Version Shopware v6.5.8.12 vom 11. Juli 2024 wurden eine Reihe von Fehlern behoben, die zuvor die Funktionalität beeinträchtigten. Ein zentraler Fix betraf das Problem im Bereich Bulk Edit bei Assoziationen von eins-zu-viele Beziehungen, das zu endlosen Anfragen führte. Durch die Korrektur der Längenevaluierung dieser Assoziationen ist eine effizientere Datenverarbeitung gewährleistet. Ein weiterer behobener Fehler betrifft die Bulk Edit-Funktionalität bei mehr als 25 Auswahlen, die zuvor nicht korrekt funktionierte. Die Lösung dieses Problems ermöglicht eine verlässlichere Massenbearbeitung auch bei größeren Datenmengen. Abschnitt 2: Funktionsverbesserungen Mit der neuen Version wurden einige Funktionsverbesserungen implementiert, um die Benutzerfreundlichkeit und Effizienz zu steigern. So wurde ein Filter für Bestell- und Kundennummern in den Admin-Listen hinzugefügt, der eine präzisere und schnellere Suche innerhalb der Verwaltung ermöglicht. Eine Anpassung wurde auch in der Zahlungsabwicklung vorgenommen: Die Zeitüberschreitung für App-Zahlungen wurde auf 20 Sekunden erhöht. […]

Einführung neuer Funktionen und Verbesserungen in Version 6.6.4.0 Die am 2. Juli 2024 veröffentlichte Version 6.6.4.0 von Shopware bringt eine Vielzahl von Neuerungen und Verbesserungen mit sich. Im Folgenden sind die wichtigsten Änderungen ausführlich beschrieben. Implementierung und Optimierungen Implementierung von Custom Field Entity Select für dynamische Produktgruppen: Mit dem Update NEXT-33234 wurde die Möglichkeit eingeführt, benutzerdefinierte Felder für dynamische Produktgruppen zu verwenden. Dies ermöglicht eine flexiblere und präzisere Anpassung von Produktgruppen. Verbesserte Barrierefreiheit: Mehrere Verbesserungen wurden vorgenommen, um die Benutzerfreundlichkeit und Zugänglichkeit zu erhöhen. Beispielsweise wurde der Farbkontrast bei Warnmeldungen optimiert (NEXT-26302) und das Bewertungs-Widget zugänglicher gestaltet sowie mit alternativen Texten ausgestattet (NEXT-35896). Fehlerbehebungen Korrektur der Größenänderung von Admin-Rastern: Ein Problem mit der Größenänderung von Admin-Raster-Kopfzeilenaktionen beim Verwenden von Kontextmenüs wurde behoben (NEXT-30845). Verbesserung der Validierung: Die Formularvalidierung bei der Registrierung wurde aktualisiert (NEXT-34217). Eingabefelder zur Varianten-Suche werden nun vorab […]

Am 19. Juni 2024 wurde die Version v6.6.3.1 veröffentlicht. Wesentliche Änderungen in der neuen Version betreffen die Optimierung der Composer-Ausführungen während des Plugin-Lebenszyklus. Diese Anpassungen zielen darauf ab, die Performance und Stabilität der Plugin-Installation und -Aktualisierung zu verbessern. Die spezifischen Änderungen beinhalten eine verbesserte Verwaltung von Abhängigkeiten und Bibliotheken über Composer, was die Effizienz und Geschwindigkeit der Plugin-Prozesse erhöht. Dies kann insbesondere bei umfangreicheren Plugins und komplexeren E-Commerce-Konfigurationen eine wesentliche Verbesserung darstellen. Durch die verbesserten Composer-Ausführungen können potenzielle Fehler während der Plugin-Installation und -Aktualisierung besser vermieden werden. Dies führt zu einer gesteigerten Stabilität und Zuverlässigkeit des Systems insgesamt. Insgesamt bringt die Version v6.6.3.1 somit signifikante Optimierungen im Umgang mit Plugins und deren Lebenszyklus mit sich, um eine reibungslosere und effizientere Nutzung der Plattform zu gewährleisten.

Problembehebung bei der Verwendung individueller Promotion-Codes: [NEXT-31896] Eine Korrektur wurde vorgenommen, um die Verwendung individueller Promotion-Codes zu erleichtern. Bei der ersten zugewiesenen Promotion-Code-Entity, die kein Instanz von PromotionIndividualCodeEntity ist, trat ein Fehler auf. Dieser Fehler wurde behoben. iFrame-Vollbildmodus für SDK-Module: [NEXT-30469] Ab sofort ist es möglich, SDK-Module im iFrame im Vollbildmodus auszuführen. Diese Änderung ermöglicht eine bessere Anzeige und Nutzung von SDK-Modulen in der Benutzeroberfläche. Änderung der Produktpreissortierung in der Produktdetailroute: [NEXT-34676] Die Reihenfolge der Preissortierung in der ProductDetailRoute wurde angepasst, um eine konsistentere und intuitivere Produktsuche sowie eine verbesserte Benutzererfahrung zu gewährleisten. Blockierung des Twig-Updates auf Version 3.9: [NEXT-35571] Das Update auf Twig Version 3.9 wurde blockiert. Dies dient der Stabilität und Kompatibilität der Shopware-Umgebung. Auflösung von Erweiterungsparametern in Shopware-Compiler-Durchläufen: [NEXT-36143] Eine verbesserte Auflösung von Erweiterungsparametern in den Compiler-Durchläufen von Shopware wurde implementiert, um die Genauigkeit und Effizienz bei […]

Am 4. Juni 2024 wurde die Version v6.6.3.0 von Shopware veröffentlicht. Diese Version bringt eine Vielzahl wichtiger Neuerungen, Verbesserungen und Fehlerbehebungen mit sich. Wesentliche Änderungen und Verbesserungen Ergänzungen im API-Bereich und Datenbankoptimierungen: Hinzufügung des Last-Modified-Headers in den Feed-Antworten. Verfeinerung der Produktindizierung auf benutzerdefinierte Felder. Einführung der Checkout Gateway-Funktion, um den Bezahlvorgang zu optimieren. Entfernung der fest codierten Abhängigkeit von Redis in der Shopware-Konfiguration. Mehrere API-Verbesserungen, darunter die Einführung neuer OpenAPI-Schema für verschiedene Endpunkte und Verbesserungen der API-Validierung. Fehlerbehebungen und Korrekturen: Behebung des Fehlers bei der Darstellung von Multi-Farben-Symbolen. Korrektur der Währungsformatierung bei ungültigen Währungen. Anpassungen zur Verhinderung leerer Filterkriterien in der Datenbankabfrage. Behebung von Problemen im Zusammenhang mit der dynamischen Anpassung von CMS-SDK-Elementen. Verbesserungen bei der Erkennung und Behandlung nicht druckbarer ASCII-Zeichen in Mediapfaden. Erweiterungen und Optimierungen der Benutzeroberfläche: Einführung eines visuell fokussierten Indikators für wichtige Seitenelemente. Ergänzung von Wrapper-Komponenten […]

In der Version v6.5.8.10 wurde die HTML-Sanitierung aus den Feldern für E-Mail-Header und -Footer entfernt. Diese Änderung betrifft die Art und Weise, wie HTML-Inhalte in den E-Mail-Headern und -Footern behandelt werden und ermöglicht eine flexiblere Handhabung von HTML-Inhalten in diesen Bereichen. Verbesserte Zugänglichkeit und SEO auf der Anmeldeseite Zur Verbesserung der Barrierefreiheit und der Suchmaschinenoptimierung (SEO) wurden Überschriftselemente auf der Anmeldeseite für Konten hinzugefügt. Diese Ergänzung sorgt für eine klarere Struktur und eine bessere Erreichbarkeit der Inhalte für Benutzer sowie für Suchmaschinen. Änderung des Versandmethoden-Schalters im Off-Canvas-Warenkorb Der Schalter für die Versandmethodenauswahl im Off-Canvas-Warenkorb wurde in ein Button-Element geändert. Diese Anpassung dient der Verbesserung der Benutzerfreundlichkeit und der Interaktivität im Bestellprozess. Entfernung nicht druckbarer ASCII-Zeichen im Medienpfad Mit der neuen Version wurden nicht druckbare ASCII-Zeichen aus dem Medienpfad entfernt. Diese Änderung trägt zur Erhöhung der Datenintegrität und Konsistenz innerhalb der […]