Bisherige Sicherheitsupdates

Auf dieser Seite finden Sie eine Auswahl über die in Shopware 5 durch safefive-Sicherheitsupdates behobenen Sicherheitsrisiken. Unsere Kunden finden ausführliche Informationen zu den behobenen Sicherheitslücken – einschließlich einer Einstufung des Schweregrads – auf unserer Kundenplattform.

Sicherheitslücke in E-Mail-Vorlagen

Im Shopware 5 Backend wurde eine Sicherheitslücke geschlossen, die Cross-Site Scripting (XSS) ermöglichte. Die Schwachstelle betraf die Bearbeitung und Anzeige von E-Mail-Vorlagen im Administrationsbereich. Dadurch konnten schädliche Skripte eingeschleust werden, die sensible Daten gefährden oder unbefugte Aktionen auslösen können. Mit der Korrektur werden Eingaben jetzt gefiltert, was den Schutz des Backends verbessert.

Cookie-Sicherheit: Umstellung von “Lax” auf “Strict”

In der Shop-Administration ist es nun möglich, die SameSite Cookie-Einstellungen auf “Lax” oder „Strict” zu stellen. Diese Änderung bietet erhöhten Schutz vor Cross-Site-Request-Forgery-Angriffen (CSRF) und stärkt die Sicherheit der Browsersitzungen.


Was bedeutet diese Umstellung?
Cookies mit der Einstellung „Lax“ werden auch übertragen, wenn der Seitenaufruf über eine andere Website erfolgt – zum Beispiel durch einen Klick auf einen externen Link. Mit der Einstellung „Strict“ werden Cookies ausschließlich bei Same-Site-Anfragen übertragen. So wird verhindert, dass Cookies an externe Websites weitergegeben werden – selbst wenn Nutzer über einen Link von einer anderen Seite auf Ihre Website gelangen.

Vorteile der Strict-Einstellung:

  • Erhöhter Schutz vor CSRF-Angriffen
  • Reduziertes Risiko unerwünschter Datenübertragung
  • Verbesserte Privatsphäre beim Surfen

Flexiblere Captcha-Einstellungen für besseren Schutz vor Spam und Angriffen

Es ist nun möglich einzustellen, welche Art von Captcha im Shop verwendet werden soll. Captchas dienen dem Schutz vor automatisierten Angriffen und Spam, insbesondere bei Formularen wie der Registrierung, dem Login oder dem Kontaktformular. Da verschiedene Captcha-Methoden unterschiedliche Anforderungen und Sicherheitsniveaus mit sich bringen, können Shopbetreiber nun gezielt entscheiden, welcher Captcha-Typ für den jeweiligen Shop am besten geeignet ist. Die Auswahl erfolgt komfortabel über die Konfiguration im Backend.

Optimierte Composer-Unterstützung für reibungslosere Updates

Die Unterstützung für Installationen über Composer wurde optimiert. Bei der Nutzung von Composer ergeben sich dadurch stabilere und sicherere Installationen und Updates. Probleme können schneller erkannt und behoben werden, wodurch Ausfallzeiten reduziert und die Performance des Shops verbessert wird. So bleibt die Shop-Umgebung zuverlässig und gut geschützt.

Verbesserter Schutz durch korrekte Erstellung der .htaccess-Datei im Vendor-Ordner

Im vendor-Ordner wird automatisch eine .htaccess-Datei angelegt, um den direkten Zugriff auf sensible Dateien zu verhindern. Bisher konnte es nach dem Löschen des Ordners passieren, dass die Datei fehlte – und damit der Ordner öffentlich zugänglich war. Mit dieser Änderung wird der Zugriff dauerhaft unterbunden und die Sicherheit der Shop-Installation verbessert. Selbst wenn der Ordner gelöscht und vom System neu angelegt wird, bleibt der Zugriff von außen gesperrt.

Passwort-vergessen-Funktion mit Captcha-Schutz erweitert

Beim Zurücksetzen des Passworts ist jetzt ein Captcha integriert, das automatisch überprüft, ob es sich um einen echten Nutzer handelt. Diese zusätzliche Sicherheitsmaßnahme schützt Shopware 5 vor automatisierten Angriffen und Spam-Versuchen. So wird verhindert, dass Bots das System missbrauchen, und die Sicherheit der Benutzerkonten wird deutlich erhöht.

Verbesserter Schutz durch automatische Erstellung von .htaccess-Dateien

In sicherheitsrelevanten Verzeichnissen wird automatisch eine .htaccess-Datei erstellt, um den direkten Zugriff auf sensible Inhalte zu verhindern. Zuvor konnte es vorkommen, dass diese Schutzdatei nach dem Löschen bestimmter Ordner (z. B. beim Leeren des Caches) fehlte – wodurch die Verzeichnisse öffentlich zugänglich waren. Mit dieser Änderung – also der automatischen Erstellung einer .htaccess-Datei – bleibt der Zugriff von außen auch dann gesperrt, wenn ein Ordner vom System neu angelegt wird.

Direktes Ausführen von PHAR-Dateien systemseitig unterbunden

PHAR-Dateien (PHP Archive) können potenziell Schadcode enthalten und stellen somit ein Sicherheitsrisiko dar, wenn sie direkt auf dem Server ausgeführt werden. Mit dieser Maßnahme wird das direkte Ausführen solcher Dateien zuverlässig blockiert. Dadurch wird verhindert, dass Angreifer über manipulierte PHAR-Dateien schadhaften Code einschleusen und/oder ausführen können. Diese Sicherheitsvorkehrung ist besonders wichtig in Umgebungen, in denen Dateiuploads erlaubt sind oder externe Quellen eingebunden werden.

Parallele Logins mit einem Kundenkonto unterbunden

Die Maßnahme sorgt dafür, dass ein Kundenkonto immer nur von einer Person zur selben Zeit verwendet werden kann. Wenn jemand mit den gleichen Zugangsdaten (z. B. E-Mail und Passwort) versucht, sich von einem anderen Gerät oder Standort einzuloggen, wird die vorherige Sitzung automatisch beendet. Das schützt nicht nur sensible Kundendaten, sondern verhindert auch den Missbrauch von Konten – etwa durch gemeinschaftlich genutzte Logins oder unautorisierte Zugriffe. So bleibt der Zugang zum Shopware 5 Shop individuell und sicher.

Upload und Ausführung von PHAR-Dateien in ESD-Produkten blockiert

PHAR-Dateien (PHP Archive) können ausführbaren PHP-Code enthalten und somit ein ernstzunehmendes Sicherheitsrisiko darstellen – insbesondere im Zusammenhang mit ESD-Produkten (elektronische Software-Downloads), bei denen Dateien durch Kunden hochgeladen oder heruntergeladen werden können. Durch dieses Update wird verhindert, dass PHAR-Dateien überhaupt in ESD-Produkten hochgeladen oder innerhalb des Systems ausgeführt werden können. Damit wird ein möglicher Angriffsvektor geschlossen, über den Schadcode eingeschleust und auf dem Server ausgeführt werden könnte. Das reduziert das Risiko von Remote Code Execution (RCE) erheblich und sorgt für mehr Sicherheit bei digitalen Produkten in Ihrem Shopware 5 Shop.

Mehr erfahren und informiert bleiben? Abonnieren Sie unseren Newsletter!

    Wir erfassen Ihre E-Mail-Adresse, um Ihnen von Zeit zu Zeit E-Mails über Dienstleistungen zu senden.
    Wenn Sie Ihre E-Mail-Adresse angeben, erklären Sie sich mit unserer Datenschutzrichtlinie einverstanden.

    Nach oben