Wichtig 👉 Sicherheitslücke in JTL-Shop 5 bis 5.3.2 (betr. alle Versionen des Shopsystems)

Nina L.

Community Management
Mitarbeiter
6. Juli 2023
258
212
Liebe Community,
wir haben eine kritische Sicherheitslücke entdeckt, die alle Versionen unseres Shopsystems JTL- Shop 5 bis einschließlich Version 5.3.2 betrifft. Nach unseren Informationen ist die Sicherheitslücke bislang nicht ausgenutzt worden.
Wir bitten Euch dennoch, dringend umgehend aktiv zu werden, um die Sicherheit Eurer Systeme zu gewährleisten!

Technische Hintergründe:

Bei der Sicherheitslücke handelt es sich um eine nicht vorhandene Prüfung auf einen eingeloggten Backend-Nutzer im Admin-Bereich von JTL-Shop 5. Dritte können dadurch beliebige Plugins deaktivieren, indem sie eine entsprechend manipulierte Anfrage an das Shopsystem senden.
Ob Euer Shop bereits von der Lücke betroffen war, lässt sich bedauerlicherweise nicht feststellen. Solltet Ihr in der Vergangenheit auf unerklärlich deaktivierte Plugins gestoßen sein, besteht grundsätzlich die Chance, dass die Lücke dafür genutzt wurde.

Das müsst Ihr jetzt tun
Es gibt für jede der aktuellen JTL-Shop-5-Versionen ein Update, das ausschließlich einen Patch zur Behebung der genannten Sicherheitslücke enthält. Sollte Euer JTL-Shop bereits auf die Versionen 5.0.6, 5.1.6, 5.2.5 oder 5.3.2 sein, können sie über den entsprechenden Patch auf die nächsthöhere Version aktualisiert werden.

Mehr Informationen und Downloadmöglichkeiten der Patches haben wir für Euch im Forum hinterlegt:

Shop 5.0.7

Shop 5.1.7

Shop 5.2.6

Shop 5.3.3


Solltet Ihr eine ältere Version des JTL-Shop 5 verwenden (JTL-Shop 5.0.0 bis 5.0.5, 5.1.0 bis 5.1.5, 5.2.0 bis 5.2.4 oder 5.3.0 bis 5.3.1) und nicht auf eine aktuelle Version updaten können, findet Ihr unter folgenden Links eine Anleitung zum Beheben der Sicherheitslücke:

Patch für Shop 5.0.0 bis 5.0.5 und Shop 5.1.0 bis 5.1.5

Patch für Shop 5.2.0 bis 5.2.4 und Shop 5.3.0 bis 5.3.1


Eure aktuell genutzte JTL-Shop-Version seht Ihr im Informations-Widget Eures JTL-Shop Backend ( /admin ) Dashboards.
Generell gilt: Ältere Versionen von JTL-Shop können weitere Sicherheitslücken enthalten. Daher empfehlen wir Euch dringend, Euren JTL-Shop aktuell zu halten. Eine Übersicht aller verfügbaren Versionen findet Ihr in unserem Releaseforum.

Nach dem Update
Wenn Ihr die Sicherheitslücke durch das Update auf die entsprechende neue Version geschlossen habt, gibt es nichts Weiteres zu beachten.

Wenn Ihr die Sicherheitslücke durch manuelles Patchen einer älteren Version geschlossen habt, beachtet bitte, dass im JTL-Shop Backend ein Hinweis für modifizierte Dateien angezeigt wird. Folgt diesem Hinweis, solltet Ihr eine Liste modifizierter Dateien vorfinden. Für folgende Dateien ist das durch das Schließen der Sicherheitslücke normal und wird erst durch Update auf eine entsprechende neue Version behoben:
/admin/includes/smartyinclude.php (Für Shop 5.0 und Shop 5.1)
/admin/includes/admininclude.php (Für Shop 5.2 und Shop 5.3)

Hinweis für JTL-Hosting-Kunden
Wenn Ihr das Hosting Eurres JTL-Shops in unsere Hände gegeben habt, so haben wir die Sicherheitslücke bereits für Euch geschlossen. Dazu erhaltet Ihr in Eurem Shop die Meldung über eine modifizierte Datei und müsst nichts mehr tun.

Euer Ansprechpartner bei Rückfragen
Unser Support-Team steht Euch bei Rückfragen gerne zur Verfügung. Bitte erstellt hierzu wie gewohnt ein Support-Ticket im JTL-Kundencenter.

Mit freundlichen Grüßen
Euer Team der JTL-Software-GmbH
 

JohnFrea

Sehr aktives Mitglied
21. September 2017
842
270
Danke für den Hinwies.

Schade, dass die Patche gigantisch viele, unnötige Dateien enthalten, obwohl eigentlich nicht viel geändert wurde.
 

Anhänge

  • 532_533_Log.png
    532_533_Log.png
    56 KB · Aufrufe: 51
  • Gefällt mir
Reaktionen: sah

ple

Sehr aktives Mitglied
20. August 2019
622
136

Michi001

Sehr aktives Mitglied
15. Dezember 2020
118
27
also ich bekomme eine Fehlermeldung wenn ich den admin-login aufrufen möchte in unserem JTL Shop 5.1.5 nach dem ändern der Datei:

Code:
Parse error: syntax error, unexpected '' && Form::validateToken()) {' (T_CONSTANT_ENCAPSED_STRING) in /usr/www/users/.../admin/includes/smartyinclude.php on line 189

was läuft falsch?
 

OliverS

Sehr aktives Mitglied
Mitarbeiter
1. April 2022
117
57
Hückelhoven
also ich bekomme eine Fehlermeldung wenn ich den admin-login aufrufen möchte in unserem JTL Shop 5.1.5 nach dem ändern der Datei:

Code:
Parse error: syntax error, unexpected '' && Form::validateToken()) {' (T_CONSTANT_ENCAPSED_STRING) in /usr/www/users/.../admin/includes/smartyinclude.php on line 189

was läuft falsch?
Da wurde anscheinend die Zeile falsch eingefügt, oder noch die nicht korrigierte Zeile. Korrekterweise lautet die Zeile:

Code:
if ((int)$_SESSION['AdminAccount']->kAdminlogin > 0 && Request::postVar('action') === 'disable-expired-plugins' && Form::validateToken()) {

Die Korrektur auf der Seite, hat leider etwas gedauert, weil das CMS sich etwas quer gestellt hat.
 
  • Gefällt mir
Reaktionen: Nina L. und Michi001

Michi001

Sehr aktives Mitglied
15. Dezember 2020
118
27
Da wurde anscheinend die Zeile falsch eingefügt, oder noch die nicht korrigierte Zeile. Korrekterweise lautet die Zeile:

Code:
if ((int)$_SESSION['AdminAccount']->kAdminlogin > 0 && Request::postVar('action') === 'disable-expired-plugins' && Form::validateToken()) {

Die Korrektur auf der Seite, hat leider etwas gedauert, weil das CMS sich etwas quer gestellt hat.
Vielen lieben Dank.
Mit dieser Zeile hat es geklappt :)
 

Shop-Schmied

Sehr aktives Mitglied
4. Februar 2014
397
77
Kann man sowas als Laie selbst durchführen (fixen) oder brauche ich da eher einen externen Support? Habe bereits ein Angebot für 300,-- pro shop erhalten, das kommt mir etwas viel vor.
gibts da ne Anleitung wie man an den Quelltext an die betreffende Stelle kommt um die zeile zu tauschen?
Danke Vorab!
Siehe: Erster Post. Dort sind die Links - abhängig von Deiner aktuellen Shopversion. Ich fand das jetzt nicht so schwer und war damit in 5 Minuten durch. Wenn Du nach Anleitung Schritt für Schritt arbeitest und schonmal mit FTP-Upload, Filezilla & Notepad oder anderem Editor gearbeitet hast, sollte es kein Problem sein.

Was mich noch interessieren würde: Ist beim Patchupdate auf Shop 5.3.3 noch etwas mehr verändert worden, als diese einzelne Zeile? Oder geht es im Grunde nur darum, dass die Fehlermeldung wegen veränderter Dateien durch den Patch verschwindet? Dann könnte ich damit noch warten.
 

ergowebshop

Sehr aktives Mitglied
14. Januar 2022
179
48
Was mich noch interessieren würde: Ist beim Patchupdate auf Shop 5.3.3 noch etwas mehr verändert worden, als diese einzelne Zeile? Oder geht es im Grunde nur darum, dass die Fehlermeldung wegen veränderter Dateien durch den Patch verschwindet? Dann könnte ich damit noch warten.
Dann warst du wohl zu schnell durch, es steht nämlich auch in der Rundmail: "falls Sie nicht updaten können, finden Sie unter folgenden Links eine Anleitung zum Beheben der Sicherheitslücke".

Die Zeile korrigieren behebt das Sicherheitsrisiko auf die Schnelle, aber man sollte doch zeitnah auf die jeweils aktuelle Version gehen, über den normalen Updateweg, vorher natürlich wie immer Testen und Plugin-Kompatibilität prüfen.

Aber wie @JohnFrea schon geschrieben hat, irgendwie sind da noch tausende weitere Dateien im Update-Paket obwohl eigentlich nicht viel geändert wurde.
 
  • Haha
Reaktionen: Shop-Schmied

Shop-Schmied

Sehr aktives Mitglied
4. Februar 2014
397
77
Ok, wer lesen kann ... ;) . Aber den Patch noch einzuspielen sollte ja nicht das Problem darstellen. Gabs in der Vergangenheit auch ab und zu.
 

Stanislav

Mitglied
17. November 2023
11
1
Kann man sowas als Laie selbst durchführen (fixen) oder brauche ich da eher einen externen Support? Habe bereits ein Angebot für 300,-- pro shop erhalten, das kommt mir etwas viel vor.
gibts da ne Anleitung wie man an den Quelltext an die betreffende Stelle kommt um die zeile zu tauschen?
Danke Vorab!
Könnten Sie bitte sagen:
1. Welche Versionen Ihrer Online-Shops?
2. Wie viele *.tpl in Child?
3. Wie viel Plugins hat jede Shop?

Höchstwahrscheinlich wurden Ihnen nicht nur ein Patch angeboten, sondern auch auf die neuesten 5.3.3 aktualisieren.
 
Zuletzt bearbeitet:

MRacer

Mitglied
11. Januar 2024
35
2
Unsere Agentur hat uns generell gewarnt, Upadates selbst vorzunehmen (zwecks Kompatibilität).
Habe ich das richtig verstanden: Wenn wir nur die Zeile aus der Anleitung austauschen, brauchen wir die Shopversion nicht updaten!?
Bei uns ist es:
- Shop-Version 5.2.3
- Ein .tpl im Child
- 8 Plugins
 

John

Sehr aktives Mitglied
3. März 2012
3.340
751
Berlin
5.23 ist ja generell alt. Ja, die kann man nochmal auf die schnelle patchen aber ein Udpate ist mittelfristig angeraten.

Das "mal eben" zu patchen, kann man nach Anleitung auch selbst machen. Oder einen kleinen Taler für die Agentur. Das Rechnung schreiben sollte mehr kosten, als das Änderung machen...
 
  • Gefällt mir
Reaktionen: MRacer

MRacer

Mitglied
11. Januar 2024
35
2
5.23 ist ja generell alt. Ja, die kann man nochmal auf die schnelle patchen aber ein Udpate ist mittelfristig angeraten.

Das "mal eben" zu patchen, kann man nach Anleitung auch selbst machen. Oder einen kleinen Taler für die Agentur. Das Rechnung schreiben sollte mehr kosten, als das Änderung machen...
Danke John!
Hast du eine Empfehlung zu einer Agentur im Raum Stuttgart, die uns beim Update etc. unterstützen kann?
 
Ähnliche Themen
Titel Forum Antworten Datum
Neu JTL-Shop 5 Whatsapp Business Produktkatalog Export anlegen Allgemeine Fragen zu JTL-Shop 0
Neu CSV per FTP vom Lieferanten JTL Shop Hosting Schnittstellen Import / Export 3
Neu JTL Shop 5 -> Anzeigen 2. Tab ... Allgemeine Fragen zu JTL-Shop 1
JTL-API 1.9 JTL-Wawi 1.9 0
Neu JTL Search Allgemeine Fragen zu JTL-Shop 0
Neu Artikel Tag von JTL an Shopify Shopify-Connector 0
In Bearbeitung Teilmengen in JTL POS seit gestriger Aktualisierung nicht mehr möglich JTL-POS - Fehler und Bugs 12
Hilfe benötigt - Amazon-Fehler wegen fehlender GPSR-Informationen in JTL JTL-Wawi 1.9 0
In Diskussion JTL Wawi Workflow: Automatische Etikettenerstellung und E-Mail-Versand JTL-Workflows - Ideen, Lob und Kritik 8
Neu JTL Worker Fehler - Amazon Abgleich soll nicht durchgeführt werden Amazon-Anbindung - Fehler und Bugs 2
Neu Artikel Mapping via JTL Connector zu SW6 Shopware-Connector 0
Neu Suche Kenner der MS SQL Datenbanken und JTL-WaWi vorzugsweise Raum Aachen Dienstleistung, Jobs und Ähnliches 1
dbo.tRestApiRequestLog löschen nicht möglich über die JTL Admin Oberfläche JTL-Wawi 1.9 0
Neu Datenbank beim Hosting JTL User helfen Usern 2
Neu Ebay Variantenartikel dem jeweiligen Artikel in der JTL zuordnen eBay-Anbindung - Fehler und Bugs 0
JTL auf dem Amazon Sellerday 10.10.25 Messen, Stammtische und interessante Events 0
JTL auf dem multichannelday 2025 am 15.05.25 Messen, Stammtische und interessante Events 0
JTL auf dem e-Commerce Day by Kaufland am 11.04.25 Messen, Stammtische und interessante Events 0
JTL x Shop Apotheke MeetUp am 27.03.25 Messen, Stammtische und interessante Events 0
JTL auf der Steuerberater Expo am 20.03.25 Messen, Stammtische und interessante Events 0
JTL auf der E-commerce Berlin Expo 19./20.02.25 Messen, Stammtische und interessante Events 0
JTL-MeetUp München am 25.02.25 - powered by Novalnet AG! Messen, Stammtische und interessante Events 0
Neu Shopify testweise an JTL anbinden Shopify-Connector 0
Neu JTL-WMS Mobile crasht beim Start seit Kurzem (Windows.UI.Xaml) JTL-WMS / JTL-Packtisch+ - Fehler und Bugs 0
In Bearbeitung Gesucht: EC Kartenlesegerät welches stabil mit der JTL POS App funktioniert JTL-POS - Fragen zu Hardware 5
JTL Shop 5 auf bestehender Domain unter anderen Pfad neu aufsetzen und dann vom alten JTL Shop 4 auf den neuen umschalten Einrichtung JTL-Shop5 5
Neu Profi? Agentur, Dienstleister gesucht für JTL Rechnungsdatenservice JTL 2 Datev Schnittstellen Import / Export 0
JTL WaWi - Kunde - eigenes Feld - dotliquid - neue Variablen JTL-Wawi 1.9 1
Neu Newsletter Abonnenten export aus dem JTL Shop? Allgemeine Fragen zu JTL-Shop 0
Neu JTL Rest API // Company2 und Address2 werden nicht übertragen. Schnittstellen Import / Export 0
Neu Versanddatenexport: JTL-SHippingLabels-Server kann nicht erreicht werden. JTL-ShippingLabels - Fehler und Bugs 0
Neu JTL Module buchen WMS/Mobile User helfen Usern - Fragen zu JTL-Wawi 1
Neu JTL WaWi Client unter Linux User helfen Usern - Fragen zu JTL-Wawi 15
Neu JTL Druckvorlage zur Erstellung von Artikelstammdatenblättern im PDF Format Druck-/ E-Mail-/ Exportvorlagen in JTL-Wawi 0
Gelöst Umstieg von LS-POS auf JTL-POS wie TSE übernehmen? Einrichtung / Updates von JTL-POS 0
Neu STÖRUNG - JTL-Shippinglabels JTL-ShippingLabels - Fehler und Bugs 1
Neu JTL Shipping ausgefallen? JTL-ShippingLabels - Fehler und Bugs 20
Neu GPSR-Daten von JTL zu Kaufland und Amazon Amazon-Anbindung - Fehler und Bugs 2
JTL Connector zu Woocommerce lädt nicht, Worker zeigt Tausende Prozent Fortschritt an... JTL-Wawi 1.9 1
In Bearbeitung JTL-POS lässt sich nach Aktualisierung nicht mehr starten. Einrichtung / Updates von JTL-POS 6
Gelöst Neues System für JTL POS gesucht – Erfahrungen & Empfehlungen? JTL-POS - Fragen zu Hardware 6
Neu Automatische Übersetzungen JTL Shop Plugins für JTL-Shop 0
Neu Kauf Ihres Lagerbestands durch Amazon für den weltweiten Verkauf - Wie Abbildung in JTL? Betrieb / Pflege von JTL-Shop 0
Neu Schweiz - Probleme mit Netto-/Bruttobeträgen und Steuerhandling bei Amazon Marketplace Facilitator in JTL-Wawi Amazon-Anbindung - Fehler und Bugs 0
Neu JTL Shop Anzeige Fehler Amazon Pay Button und Paypal Pay Button Allgemeine Fragen zu JTL-Shop 3
Neu Problem mit der Verbindung von JTL-Wawi (1.5.48.2) und WooCommerce (Version 9.5.2) User helfen Usern - Fragen zu JTL-Wawi 0
JTL Wawi Druckvorlage Standard vs Layout 2 Allgemeine Fragen zu JTL-Vouchers 0
JTL-Stammtisch in Hannover am 13.02.25 – powered by T4DT! Messen, Stammtische und interessante Events 0
Neu JTL-WAWI API] - Trigger Sales Order Workflow Event - X-RunAs wird ignoriert JTL-Wawi - Fehler und Bugs 0
Neu Kindartikel fehlen in JTL-Wawi Einrichtung und Installation von JTL-eazyAuction 0

Ähnliche Themen