Erneut kritische Sicherheitslücke in Shopware

Shopware - another important security updateGerade einmal 2 Tage nach dem Bekannt werden einer kritischen Sicherheitslücke, stellt shopware erneut ein Sicherheitsupdate sowie eine komplett neue Version zum Download bereit. Die bestehende Schwachstelle kann unter gewissen Umständen weiter von Angreifern ausgenutzt werden.

 

Die transparente Kommunikation und der Umgang des Unternehmens mit der nicht vollständig geschlossenen Sicherheitslücke zeigt, wie wichtig es ist Kunden zu informieren – unabhängig von den Stimmen von PR Beratern.

Wir hatten bereits vorgestern über die kritische Sicherheitslücke in shopware berichtet. Heute – gerade einmal 2 Tage nach dem Update vom 23.01.2017 – ist bereits ein neues Update verfügbar. Der neue Security Patch (HotFix Plugins 1.1.0) wird ab sofort auf der Website von shopware bereitgestellt.

In einem entsprechenden Wiki Eintrag zur Sicherheitslücke auf Shopware finden sich alle relevanten Informationen. Es findet sich dort ebenfalls eine Update-Anleitung auf shopware Version 5.2.16.

Hier ein Auszug über die Änderung im Update:

Alle Theme und Plugin Entwickler sind angehalten die entsprechenden Zeilen in allen angebotenen Themes oder Plugins auszutauschen.

Die betroffene Datei: elements.tpl.

Pfad Templatedatei Emotion Template: templates/_default/frontend/forms/elements.tpl
Pfad Templatedatei Responsive Template: themes/Frontend/Bare/frontend/forms/elements.tpl

Die komplette Zeile beginnend mit: {eval var=$sSupport.sFields[$sKey]... sollte mit dieser Zeile ausgetauscht werden:

{$sSupport.sFields[$sKey]|replace:’{literal}’:”|replace:’{/literal}’:”|replace:’%*%’:”{s name=’RequiredField’ namespace=’frontend/register/index’}{/s}”}

 

This entry was posted in eCommerce, Tools. Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

*

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>