Neu Sicherheitslücke in JTL-Shop 4 auch eine Sicherheitslücke in JTL Shop 3.20 (Build 8) ?

shoppy

Sehr aktives Mitglied
18. November 2007
421
40
Heute kam ein Newsletter wegen einer Sicherheitslücke Shop 4.0

Nur zur Sicherheit:
Ich nutze noch den Shop 3.20 (Build 8)

Gibt es die Sicherheitslücke auch da? Und wenn ja, welcher Handlungsbedarf ist dann nötig?

Diesen Code $oEntry = Shop::DB()->query( gibt es im Shop 3.20 nicht
 

FPrüfer

Moderator
Mitarbeiter
19. Februar 2016
1.881
529
Halle
Diese Lücke existiert auch schon in Shop3. Dort kann man die Query aber nicht einfach auf Prepared umschreiben, da dass in Shop3 noch nicht unterstützt wird - soweit ich weiß. Dort ist also mehr Aufwand notwendig um das zu beheben.
 

shoppy

Sehr aktives Mitglied
18. November 2007
421
40
Diese Lücke existiert auch schon in Shop3. Dort kann man die Query aber nicht einfach auf Prepared umschreiben, da dass in Shop3 noch nicht unterstützt wird - soweit ich weiß. Dort ist also mehr Aufwand notwendig um das zu beheben.
@JTL Ja dann bitte auch dafür ein Tutorial zur Verfügung stellen. Ich will jetzt nicht wegen sowas von Shop 3 auf Shop 4 umsteigen müssen. Zumal ich den Onlineshop nur noch bis April 2022 brauche.

Edit: Was ist überhaupt das Weiterleitungs-Modul??
Wenn man die Datei erstmal löschen würde, funktioniert dann trotzdem der Shop noch, oder ist das ein sehr wichtiger Bestandteil vom Shop?
 

FPrüfer

Moderator
Mitarbeiter
19. Februar 2016
1.881
529
Halle
Ich will jetzt nicht wegen sowas von Shop 3 auf Shop 4 umsteigen müssen. Zumal ich den Onlineshop nur noch bis April 2022 brauche.
Was soll ich dazu sagen... Der Support für JTL-Shop3 wurde vor mehr als zwei Jahren komplett eingestellt. Da wäre eigentlich genug Zeit für ein Update gewesen. Und auch mit Shop4 würdest du auf eine Version setzen, die bereits abgekündigt ist.
 

shoppy

Sehr aktives Mitglied
18. November 2007
421
40
Was soll ich dazu sagen... Der Support für JTL-Shop3 wurde vor mehr als zwei Jahren komplett eingestellt. Da wäre eigentlich genug Zeit für ein Update gewesen. Und auch mit Shop4 würdest du auf eine Version setzen, die bereits abgekündigt ist.
Was ist überhaupt das Weiterleitungs-Modul??
Wenn man die Datei erstmal löschen würde, funktioniert dann trotzdem der Shop noch, oder ist das ein sehr wichtiger Bestandteil vom Shop?
 

301Moved

Sehr aktives Mitglied
19. Juli 2013
930
188
@JTL Ja dann bitte auch dafür ein Tutorial zur Verfügung stellen. Ich will jetzt nicht wegen sowas von Shop 3 auf Shop 4 umsteigen müssen. Zumal ich den Onlineshop nur noch bis April 2022 brauche.
Nur so am Rande: Wie Shop 3.2 ist doch PHP 5.6 ebenso ist doch end of life und bekommt keine Sicherheitsfixes mehr - beides dürfte als veraltet gelten. Das sollte man mutmaßlich auch nicht mehr betreiben und ... (vermute ich?)
 

FPrüfer

Moderator
Mitarbeiter
19. Februar 2016
1.881
529
Halle
Für die Unverbesserlichen mit JTL-Shop3.20.8
Dort müsste in /classes/class.JTL- Shop.Redirect.php Zeile 261
PHP:
$oEntry = $GLOBALS["DB"]->executeQuery("SELECT * FROM tredirectreferer tr LEFT JOIN tredirect t ON t.kRedirect = tr.kRedirect WHERE tr.cIP = '{$cIP}' AND t.cFromUrl = '{$cUrl}' LIMIT 1", 1);
ersetzt werden durch:
PHP:
$cIP    = $GLOBALS["DB"]->escape($cIP);
$cUrl   = $GLOBALS["DB"]->escape($cUrl);
$oEntry = $GLOBALS["DB"]->executeQuery("SELECT * FROM tredirectreferer tr LEFT JOIN tredirect t ON t.kRedirect = tr.kRedirect WHERE tr.cIP = '{$cIP}' AND t.cFromUrl = '{$cUrl}' LIMIT 1", 1);
Achtung!!! Da ich keinen Shop3 mehr testen kann, erfolgt das auf absolut eigene Gefahr und ohne Garantie das es funktioniert und ausreichend ist!
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: shoppy
Ähnliche Themen
Titel Forum Antworten Datum
Neu Suche 10–15 JTL-Shops für kostenlose JTL-Shop-Analyse (verschiedene Branchen) Dienstleistung, Jobs und Ähnliches 0
JTL 2.0.4: Zahlungsabgleich - Buchungen Fehlen JTL-Wawi 2.0 0
Neu JTL-Shop 5.7.2 Picture-Tag in mobilen Ansicht lädt beide Bilder JTL-Shop - Fehler und Bugs 0
Seit dem Update meines JTL-Shops auf Version 5.7.1 funktioniert die Verbindung zwischen JTL-Wawi 2.0.4.0 und dem Shop nicht mehr. JTL-Wawi 2.0 5
Neu JTL-WMS und JTL-POS... Arbeitsabläufe in JTL-WMS / JTL-Packtisch+ 0
Fehlermeldung beim Einlesen der Buchungen in JTL Fibu JTL-Wawi 2.0 2
Neu Shop 5.7.2 - JTL PayPal Checkout legt alles lahm JTL-Shop - Fehler und Bugs 4
JTL-Ameise 2.04 - Export Rechnungen csv - unvollständig JTL-Wawi 2.0 12
Neu Belege aus JTL Wawi zu Lexoffice Schnittstellen Import / Export 5
Neu Varianten die nicht online in JTL geschaltet sind werden trotzdem zu Shopify geladen Shopify-Connector 5
Neu Gesucht: JTL-Systempartner/Freelancer mit Erfahrung in Personalisierungs-/Gravur-Fulfillment Dienstleistung, Jobs und Ähnliches 2
Neu JTL Stammtisch Stuttgart Messen, Stammtische und interessante Events 1
Neu Copy/Paste Abstürze seit JTL-Wawi 2.0.5 User helfen Usern - Fragen zu JTL-Wawi 4
Gelöst: Störung bei LInk11 - JTL- Shops teilweise nicht erreichbar Störungsmeldungen 1
JTL Update auf 1.9 , danach Import Kundenspezifrische Preise velerhaft JTL-Wawi 1.9 0
Wie übernehme ich Artikelnamen von JTL in den neuen Kaufland Niederlande-Verkaufskanal? JTL-Wawi 1.11 1
Neu Wie stelle ich Retouren in JTL für DPD ein? JTL-ShippingLabels - Ideen, Lob und Kritik 1
Neu JTL Wawi 1.11.11 - Zahlungsabgleich bei FYRST Bank verlangt immer Passwort User helfen Usern - Fragen zu JTL-Wawi 0
Neu JTL Shop Plugin - BD Automatisierter Widerruf (Von Händler für Händler - Schluss mit Mail-Chaos & Spam-Sorgen!) Plugins für JTL-Shop 0
Neu Der wahrscheinlich östlichste JTL Servicepartner: Standortvorteil, faire Preise und vieles mehr Dienstleistung, Jobs und Ähnliches 16
Neu Welche JTL Shop Plugins oder kleinen Hilfstools würden euch im Alltag wirklich helfen? Plugins für JTL-Shop 0
Neu JTL ShippingLabels - Meldungen JTL-ShippingLabels - Fehler und Bugs 9
Neu Beta-Tester gesucht: Produktdaten aus Artikelfotos schneller für JTL/CSV vorbereiten Dienstleistung, Jobs und Ähnliches 0
Neu oAuth Credentials Login mit JTL .. WO? User helfen Usern 1
Neu Installationsdatei für JTL‑Wawi 1.9.6.5 Installation von JTL-Wawi 2
Neu kostenlos: DHL Sendungsverfolgung für JTL-Wawi – Web-Dashboard mit Frühwarnsystem Schnittstellen Import / Export 0
Neu JTL Wawi 2.0 oder höher WooCommerce-Connector 0
Changelog jtl Wawi 2.0.5 JTL-Wawi 2.0 10
Neu Ist es ohne Probleme möglich Cloudflare in der Free Version mit JTL zu nutzen? Allgemeine Fragen zu JTL-Shop 7
JTL 5.7.1 Widerrufsformular massiver SPAM Einrichtung JTL-Shop5 3
JTL Wawi 1.11.xx langsam unbenutzbar! JTL-Wawi 1.11 4
Neu Plugin: JTL Exportformat Google Shopping gibt <g:google_product_category> unter Shop 5.7.1 und Wawi 2.0.4 nicht aus Plugins für JTL-Shop 1
Neu Widerrufsbutton für JTL-Shop 4 Allgemeine Fragen zu JTL-Shop 17
Neu Rabatte aus dem JTL-Shop werden in der Wawi nur als Netto-Preis übernommen, Rabatt % gehen verloren Onlineshop-Anbindung 0
JTL Anmeldung letzter Benutzer JTL-Wawi 1.11 3
Test-Kunden als solche in JTL markieren, um die Auswertungen sauber zu halten? JTL-Wawi 1.11 1
Neu Ab Wawi 1.10 - JTL.Wawi.Pos.exe direkt ohne JTL-Administrator starten? Allgemeine Fragen zu JTL-POS 2
Neu JTL-Shop - Wechsel von Test zum Livebetrieb - was beachten ? Installation / Updates von JTL-Shop 2
JTL APP - Fehlermeldung nach Update auf Wawi 1.11. JTL-Wawi App 6
Eigener Drittshop-Connector (jtl/connector 5.3): valide Variationskombinationen werden mit „besitzt keine Variationen" nicht gesendet JTL-Wawi 1.11 1
JTL Wawi 1.11. - Fenstergröße - Artikel auf Einkaufsliste setzen JTL-Wawi 1.11 13
Neu Problem mit dem JTL-Connector – Invalid Shopify connection credentials. Shopify-Connector 3
Neu JTL Artikelanlage mit KI beschleunigen User helfen Usern - Fragen zu JTL-Wawi 2
Neu JTL-Wawi Shopabgleich per E-Mail überwachen (Warnungen & Fehler) Onlineshop-Anbindung 1
Neu Helfen Lösungen wie Unicorn wirklich, um die teuren Preise bei JTL zu vermeiden? Amazon-Anbindung - Ideen, Lob und Kritik 1
Neu Meta Shop seit September 2025: JTL-Lösung für neue Checkout-URL gesucht Allgemeine Fragen zu JTL-Shop 0
Neu Bug? Führende Nullen bei Sendungsnummern verschwinden in JTL-Wawi 2.0.3 JTL-ShippingLabels - Fehler und Bugs 1
DPD Cloud Labeldruck auf Zebra LP 2844-Z seit Update auf JTL-Wawi 1.11.x fehlerhaft JTL-Wawi 1.11 3
JTL nach Update auf 2.0.3 im Bereich „Kunden“ extrem langsam JTL-Wawi 2.0 1
Neu DHL 4.0 mit JTL-ShippingLabels funktioniert nicht JTL-ShippingLabels - Fehler und Bugs 2

Ähnliche Themen