Anfrage
Blog
Shopware 5.7.9 – Update im April 2022

Shopware 5.7.9 – Update im April 2022

author image
Bjorn Franke

IT-Project Manager

Lesezeit: 3 minuten
Zuletzt aktualisiert: 29.04.2022
29.04.2022
Shopware 5 Update 5.7.9 im April 2022

Fokus auf Datensicherheit

Es handelt sich um ein Datensicherheitsupdate. Betroffene Versionen sind 5.0.0 bis 5.7.8.

Nicht-persistente XSS

XSS ist eine der vielen Techniken, um schädlichen Code in eine Applikation einzuführen. Der Hauptunterschied von den anderen Techniken besteht darin, dass diese Methode die Ausführung des schädlichen Codes nicht auf dem Server, sondern clientbasssiert über den Browser ermöglicht. Gespeichert wird der Code allerdings auf Serverseite durch die Benutzereingabe im Frontend, so z.B. in einem Formular im Onlineshop. Der Code kann die persönlichen Daten von dem Onlineshop-Nutzer stehlen oder sogar eine Aktion ohne Erlaubnis des Nutzers durchführen. Die Gefahr für Shopware Onlineshops bestand lange Zeit (seit Version 5.0.0).

Fehlfunktion der CSRF-Token-Validierung

CSRF Token (secure random token) wird genutzt, um die CSRF (cross-site request forgery) Attacken zu verhindern. Das Token sagt der Applikation, dass die HTTP Anfrage legitim formuliert wurde. Das Token wird für jede Nutzer-Session generiert und ist somit einzigartig. Wichtig dabei ist, dass das Token nicht in Session Cookies, sondern direkt in der HTML Form integriert ist. Das Token muss jedes Mal neu generiert werden, wenn der Benutzer eine kritische Aktion durchführen will. Dafür wird oft auch in Onlineshops eine sichere Hash-Funktion genutzt, um die Session-ID des Benutzers zu codieren. Falls der Server das neue Token nicht dem Test zuordnen kann, wird die Aktion abgebrochen.

Shopware Onlineshops haben seit Version 5.2.0 das Token nicht neu generiert, nachdem der Benutzer sich ein- oder ausgeloggt hat. Dadurch entstand die Gefahr, dass jemand sich in das Konto des Onlineshop-Benutzers einloggen kann, wenn dieser Zugang zu dem Gerät erhält, welches vorher in das Konto eingeloggt war.

Mehrfache Erzeugung von Tokens für die Passwort-Zurücksetzen-Funktion

Die Passwort-Zurücksetzen-Funktion ist in Shopware Onlineshops, wie auch in mehreren anderen Applikationen, durch die Tokens realisiert. Diese Tokens werden an die E-Mail-Adresse des Kontoinhabers geschickt, ist immer nur einmalig benutzbar und ist nur für einen begrenzten Zeitraum gültig.

Einer der wichtigsten Aspekte ist, dass nur ein aktives Token gleichzeitig existieren darf. Seit Shopware 5.0.4 bis Version 5.7.9 war diese Regel nicht implementiert und man konnte mehreren E-Mails mit mehrfachen Tokens erhalten. Hiervon ging allerdings nur eine geringe Gefahr aus.

Halten Sie Ihren Shopware 5 Onlineshop up-to-date mit alkima WEB & DESIGN!

Folgen sie unserem!
Artikel teilen:

Bloggen

WordPress-Updates: Was sich zuletzt geändert hat – Und was mit dem Major Release 6.8 kommt
Softwareupdates
WordPress 6.8 „Cecil“: Was zeichnet das neue Release aus?
WordPress 6.8: Feine Details, große Wirkung Strukturierte Designpflege mit dem aktualisierten Style Book Noch effizienterer und intuitiverer Editor Spekulatives Laden...
Lesezeit: 4 minuten
Zuletzt aktualisiert: 30.05.2025
30.05.2025
Zum Autor
23M – Unser zuverlässiger Partner für unser alkima CLOUD-Hosting
alkima WEB & DESIGN ®
23M – Unser zuverlässiger Partner für unser alkima CLOUD-Hosting
Sicheres und performantes Data-Center im Herzen Deutschlands Ihr erstklassiges Hosting: Die alkima CLOUD mit der Hardware der 23M GmbH Eine...
Lesezeit: 2 minuten
Zuletzt aktualisiert: 05.05.2025
05.05.2025
Zum Autor
Shopware-Updates: Was sich zuletzt geändert hat – Und was mit dem Major Release 6.7 kommt
Softwareupdates
Shopware-Updates: Was sich zuletzt geändert hat – Und was mit dem Major Release 6.7 kommt
Neue Shopware-Funktionen: Highlights der letzten Monate Shopware 6.7 – Ein Blick auf das kommende Major Release Barrierefreiheit im Fokus Vite...
Lesezeit: 6 minuten
Zuletzt aktualisiert: 14.04.2025
14.04.2025
Zum Autor
Teams von alkima WEB & DESIGN ®, atrava Online Marketing ® und bw-online-shop auf dem gemeinsamen Tech Strategy Event
Projekte
bw-online-shop.com: Tech-Strategie 2025 für den Onlineshop
Gemeinsam bereit für den digitalen Wandel 2024: Was haben wir erreicht? Neue Maßstäbe im Online-Marketing Digitale Transformation: Technologische Perspektiven und...
Lesezeit: 10 minute
Zuletzt aktualisiert: 03.04.2025
03.04.2025
Zum Autor
Reybex Partnerschaft mit alkima WEB & DESIGN ®
alkima WEB & DESIGN ®
Reybex – ERP-Software, die Ihren Handel voranbringt
All-in-One-Lösung für effiziente Geschäftsprozesse Vertrieb E-Commerce & POS Produktion Einkauf Supply Chain Finanzen CRM PIM Neue Maßstäbe Ihres E-Commerce mit...
Lesezeit: 5 minuten
Zuletzt aktualisiert: 23.01.2025
23.01.2025
Zum Autor
zoho Partnerschaft mit alkima WEB & DESIGN ®
alkima WEB & DESIGN ®
Optimieren Sie Ihr Business mit Zoho: Effizienz steigern und Kunden binden
Lösungen für verschiedenste Geschäftsbereiche Vertrieb Marketing Kundensupport Finanzmanagement Teamarbeit Personalwesen Rechtliche Prozesse Sicherheit Datenanalyse Projektmanagement Individuelle Entwicklung Zoho One –...
Lesezeit: 7 minuten
Zuletzt aktualisiert: 16.01.2025
16.01.2025
Zum Autor
WordPress Performance boosten
alkima WEB & DESIGN ®
WordPress Performance boosten: 9 Tipps für die Optimierung Ihrer Website
Warum eine hohe WordPress Performance so wichtig ist So erreichen Sie einen Leistungs-Boost: Tipps zur Optimierung der WP-Performance CSS &...
Lesezeit: 11 minute
Zuletzt aktualisiert: 13.06.2025
27.11.2024
Zum Autor
Ki-Suche und Produktempfehlungen im bw-online-shop - Integrationsdetails und -Ergebnisse
Projekte
Personalisierung im E-Commerce: Mehr Umsatz durch individualisiertes Einkaufserlebnis
Know Your Customer: Intelligente Suche und personalisierte Produktempfehlungen im Fokus Integration der epoq-Personalisierungslösungen Ergebnis: Kundenzufriedenheits- und Umsatzsteigerung Personalisieren Sie das...
Lesezeit: 3 minuten
Zuletzt aktualisiert: 18.11.2024
18.11.2024
Zum Autor
piggy Partnerschaft mit alkima WEB & DESIGN ®
alkima WEB & DESIGN ®
Piggy: Loyalty Software für nachhaltige Kundenbindung
Features für effektive Kundenbindung und Marketing Wie Piggy Ihren Onlineshop von der Konkurrenz abhebt alkima WEB & DESIGN ® und...
Lesezeit: 4 minuten
Zuletzt aktualisiert: 11.11.2024
11.11.2024
Zum Autor
Ausbildung bei alkima WEB & DESIGN ®: Erfahrungen in der Softwareentwicklung, dem Webdesign, dem E-Commerce und in den unterschiedlichen Bereichen des CLOUD-Hostings
alkima WEB & DESIGN ®
Wir bilden aus! Finde deinen Ausbildungsplatz bei uns.
AEVO: Die Grundvoraussetzung für qualifizierte Ausbilder in Deutschland Die Rolle eines Ausbilders: Mehr als nur Wissensvermittlung Ausbildung bei alkima WEB...
Lesezeit: 3 minuten
Zuletzt aktualisiert: 04.11.2024
04.11.2024
Zum Autor
Kontaktieren Sie uns

Wir beraten Sie gerne und finden die perfekte Lösung für Sie. Lassen Sie sich von unseren Ideen inspirieren!

Footer contact image
Anfrage