Es existiert leider eine Sicherheitslücke in Shopware, die umgehendes Handeln erfordert:
Unter bestimmten Voraussetzungen ist es möglich, einen unautorisierten Fremdcode in Shopware auszuführen. Dieses ist eine kritische Lücke, die Auswirkungen auf das Gesamtsystem haben kann. Betroffen sind alle Shopware Versionen ab 4.0.0 bis einschließlich 5.1.4.
Aktuell sind uns keine Fälle bekannt in denen die Sicherheitslücke aktiv ausgenutzt wurde, jedoch ist es zwingend erforderlich, dass Sicherheitsupdate in jedem Shopware Shop einzuspielen.
Wenn ich gar keinen Lizenzmanager installiert habe, eilt es demnach auch nicht mit einem Update?
Hab grad keine Lust, wieder stundenlang Backups zu machen - und nach dem „mapping_id“-Problemen bei All-Inkl. mache ich kein Update auf 5.1.5 ohne Backup. Wäre ja sonst nichts im Changelog, was ein Update rechtfertigen würde.
generell ist der Shopware-Core betroffen. Das Lizenzplugin wurde hier nur genommen als möglicher Fix, da sich hier Updates sehr schnell verbreiten und so auch sehr schnell viele Shopware-Installationen sicher sind. Wenn du das Plugin nicht nutzt, solltest du die Lücke anderweitig fixen. Also entweder per Update auf 5.1.5 oder indem du das Hotfix-Plugin aus dem Wiki-Beitrag installiert. Das ist auch quelloffen.
Wenn ich beim Lizenmanager also auf der aktuellen Version (1.1.2) bin brauch ich auch kein Update machen, sehe ich das richtig? Möchte nämlich ebenfalls ungern sofort auf 5.1.5 updaten.
generell ist der Shopware-Core betroffen. Das Lizenzplugin wurde hier nur genommen als möglicher Fix, da sich hier Updates sehr schnell verbreiten und so auch sehr schnell viele Shopware-Installationen sicher sind. Wenn du das Plugin nicht nutzt, solltest du die Lücke anderweitig fixen. Also entweder per Update auf 5.1.5 oder indem du das Hotfix-Plugin aus dem Wiki-Beitrag installiert. Das ist auch quelloffen.
Moritz
Hallo Moritz,
vielen Dank an Shopware, dass Ihr auch ein Hotfix-Plugin entwickelt und veröffentlicht habt, damit man nicht sofort auf Shopware Version 5.1.5 aktualisieren muss (wenn man auch keinen Lizenzmanager integriert hat), aber trotzdem „sicher“ ist .
Wäre ja sonst nichts im Changelog, was ein Update rechtfertigen würde.
.