Shopware Security Plugin 1.1.9

Shopware 5 Allgemein
1

Hallo,

das aktuelle Sicherheitsupdate 5.4.4 schließt laut Changelog zwei Sicherheitslücken.

Quelle: https://community.shopware.com/Downloads_cat_448.html

Das aktuell zur Verfügung stehende Shopware Security Plugin in Version 1.1.9 schließt laut Changelog aber nur eine Sicherheitslücke.

  • SW-21776: Authentifizierter Backend-Nutzer mit Plugin-Installationsrechten kann unvalidierte Dateien über Plugin-Manager hochladen

Quelle: https://community.shopware.com/_detail_2076.html

Frage: handelt es sich hier um einen Fehler in der Dokumentation des Plugins oder wird durch die Installation des Shopware Security Plugin 1.1.9 das Ticket SW-21839 tatsächlich nicht gefixt?

 

Gruß RobKot

2

Hi RobKot,
mit dem Sicherheitsupdate 5.4.4 wurde die Lücke SW-21776 in Shopware gefixt. 
Im gleichen Zuge haben wir die eingesetzte Symfony Version in Shopware aktualisiert, da für die vorab eingesetzte Version ein Security Update bereitstand.

Wir haben dies mit aufgeführt, da die Schwachstelle in Symfony von unserem ehemaligen Entwickler während seiner Tätigkeit bei Shopware identifiziert wurde.

Das Security Plugin bietet einen zuverlässigen Schutz für alle Lücken innerhalb von Shopware.
Aktualisierte Versionen von Fremdbibliotheken werden aber natürlich nicht über das Plugin ausgeliefert.

Danke aber für deinen Hinweis. Zukünftig werden wir den Sachverhalten genauer beschreiben.

Hoffe ich konnte deine Frage beantworten und Viele Grüße,

Marcel
 

3

Danke für den Hinweis @RobKot.

Das würde mich auch interessieren. Zur Zeit können wir die neueste Version von Shopware noch nicht einspielen. Daher sind wir auf das Plugin angewiesen. Kann einer der Moderatoren ([@Stephan Pohl](http://forum.shopware.com/profile/2/Stephan Pohl “Stephan Pohl”)‍) kurz dazu Stellung nehmen.

Danke und Gruß