Wichtig 👉 Sicherheitslücke in JTL-Shop 5 bis 5.3.2 (betr. alle Versionen des Shopsystems)

Nina L.

Community Management
6. Juli 2023
294
250
Liebe Community,
wir haben eine kritische Sicherheitslücke entdeckt, die alle Versionen unseres Shopsystems JTL- Shop 5 bis einschließlich Version 5.3.2 betrifft. Nach unseren Informationen ist die Sicherheitslücke bislang nicht ausgenutzt worden.
Wir bitten Euch dennoch, dringend umgehend aktiv zu werden, um die Sicherheit Eurer Systeme zu gewährleisten!

Technische Hintergründe:

Bei der Sicherheitslücke handelt es sich um eine nicht vorhandene Prüfung auf einen eingeloggten Backend-Nutzer im Admin-Bereich von JTL-Shop 5. Dritte können dadurch beliebige Plugins deaktivieren, indem sie eine entsprechend manipulierte Anfrage an das Shopsystem senden.
Ob Euer Shop bereits von der Lücke betroffen war, lässt sich bedauerlicherweise nicht feststellen. Solltet Ihr in der Vergangenheit auf unerklärlich deaktivierte Plugins gestoßen sein, besteht grundsätzlich die Chance, dass die Lücke dafür genutzt wurde.

Das müsst Ihr jetzt tun
Es gibt für jede der aktuellen JTL-Shop-5-Versionen ein Update, das ausschließlich einen Patch zur Behebung der genannten Sicherheitslücke enthält. Sollte Euer JTL-Shop bereits auf die Versionen 5.0.6, 5.1.6, 5.2.5 oder 5.3.2 sein, können sie über den entsprechenden Patch auf die nächsthöhere Version aktualisiert werden.

Mehr Informationen und Downloadmöglichkeiten der Patches haben wir für Euch im Forum hinterlegt:

Shop 5.0.7

Shop 5.1.7

Shop 5.2.6

Shop 5.3.3


Solltet Ihr eine ältere Version des JTL-Shop 5 verwenden (JTL-Shop 5.0.0 bis 5.0.5, 5.1.0 bis 5.1.5, 5.2.0 bis 5.2.4 oder 5.3.0 bis 5.3.1) und nicht auf eine aktuelle Version updaten können, findet Ihr unter folgenden Links eine Anleitung zum Beheben der Sicherheitslücke:

Patch für Shop 5.0.0 bis 5.0.5 und Shop 5.1.0 bis 5.1.5

Patch für Shop 5.2.0 bis 5.2.4 und Shop 5.3.0 bis 5.3.1


Eure aktuell genutzte JTL-Shop-Version seht Ihr im Informations-Widget Eures JTL-Shop Backend ( /admin ) Dashboards.
Generell gilt: Ältere Versionen von JTL-Shop können weitere Sicherheitslücken enthalten. Daher empfehlen wir Euch dringend, Euren JTL-Shop aktuell zu halten. Eine Übersicht aller verfügbaren Versionen findet Ihr in unserem Releaseforum.

Nach dem Update
Wenn Ihr die Sicherheitslücke durch das Update auf die entsprechende neue Version geschlossen habt, gibt es nichts Weiteres zu beachten.

Wenn Ihr die Sicherheitslücke durch manuelles Patchen einer älteren Version geschlossen habt, beachtet bitte, dass im JTL-Shop Backend ein Hinweis für modifizierte Dateien angezeigt wird. Folgt diesem Hinweis, solltet Ihr eine Liste modifizierter Dateien vorfinden. Für folgende Dateien ist das durch das Schließen der Sicherheitslücke normal und wird erst durch Update auf eine entsprechende neue Version behoben:
/admin/includes/smartyinclude.php (Für Shop 5.0 und Shop 5.1)
/admin/includes/admininclude.php (Für Shop 5.2 und Shop 5.3)

Hinweis für JTL-Hosting-Kunden
Wenn Ihr das Hosting Eurres JTL-Shops in unsere Hände gegeben habt, so haben wir die Sicherheitslücke bereits für Euch geschlossen. Dazu erhaltet Ihr in Eurem Shop die Meldung über eine modifizierte Datei und müsst nichts mehr tun.

Euer Ansprechpartner bei Rückfragen
Unser Support-Team steht Euch bei Rückfragen gerne zur Verfügung. Bitte erstellt hierzu wie gewohnt ein Support-Ticket im JTL-Kundencenter.

Mit freundlichen Grüßen
Euer Team der JTL-Software-GmbH
 

JohnFrea

Sehr aktives Mitglied
21. September 2017
962
302
Danke für den Hinwies.

Schade, dass die Patche gigantisch viele, unnötige Dateien enthalten, obwohl eigentlich nicht viel geändert wurde.
 

Anhänge

  • 532_533_Log.png
    532_533_Log.png
    56 KB · Aufrufe: 55
  • Gefällt mir
Reaktionen: sah

ple

Sehr aktives Mitglied
20. August 2019
869
182

Michi001

Sehr aktives Mitglied
15. Dezember 2020
163
40
also ich bekomme eine Fehlermeldung wenn ich den admin-login aufrufen möchte in unserem JTL Shop 5.1.5 nach dem ändern der Datei:

Code:
Parse error: syntax error, unexpected '' && Form::validateToken()) {' (T_CONSTANT_ENCAPSED_STRING) in /usr/www/users/.../admin/includes/smartyinclude.php on line 189

was läuft falsch?
 

OliverS

Sehr aktives Mitglied
Mitarbeiter
1. April 2022
137
69
Hückelhoven
also ich bekomme eine Fehlermeldung wenn ich den admin-login aufrufen möchte in unserem JTL Shop 5.1.5 nach dem ändern der Datei:

Code:
Parse error: syntax error, unexpected '' && Form::validateToken()) {' (T_CONSTANT_ENCAPSED_STRING) in /usr/www/users/.../admin/includes/smartyinclude.php on line 189

was läuft falsch?
Da wurde anscheinend die Zeile falsch eingefügt, oder noch die nicht korrigierte Zeile. Korrekterweise lautet die Zeile:

Code:
if ((int)$_SESSION['AdminAccount']->kAdminlogin > 0 && Request::postVar('action') === 'disable-expired-plugins' && Form::validateToken()) {

Die Korrektur auf der Seite, hat leider etwas gedauert, weil das CMS sich etwas quer gestellt hat.
 
  • Gefällt mir
Reaktionen: Nina L. und Michi001

Michi001

Sehr aktives Mitglied
15. Dezember 2020
163
40
Da wurde anscheinend die Zeile falsch eingefügt, oder noch die nicht korrigierte Zeile. Korrekterweise lautet die Zeile:

Code:
if ((int)$_SESSION['AdminAccount']->kAdminlogin > 0 && Request::postVar('action') === 'disable-expired-plugins' && Form::validateToken()) {

Die Korrektur auf der Seite, hat leider etwas gedauert, weil das CMS sich etwas quer gestellt hat.
Vielen lieben Dank.
Mit dieser Zeile hat es geklappt :)
 

Shop-Schmied

Sehr aktives Mitglied
4. Februar 2014
409
78
Kann man sowas als Laie selbst durchführen (fixen) oder brauche ich da eher einen externen Support? Habe bereits ein Angebot für 300,-- pro shop erhalten, das kommt mir etwas viel vor.
gibts da ne Anleitung wie man an den Quelltext an die betreffende Stelle kommt um die zeile zu tauschen?
Danke Vorab!
Siehe: Erster Post. Dort sind die Links - abhängig von Deiner aktuellen Shopversion. Ich fand das jetzt nicht so schwer und war damit in 5 Minuten durch. Wenn Du nach Anleitung Schritt für Schritt arbeitest und schonmal mit FTP-Upload, Filezilla & Notepad oder anderem Editor gearbeitet hast, sollte es kein Problem sein.

Was mich noch interessieren würde: Ist beim Patchupdate auf Shop 5.3.3 noch etwas mehr verändert worden, als diese einzelne Zeile? Oder geht es im Grunde nur darum, dass die Fehlermeldung wegen veränderter Dateien durch den Patch verschwindet? Dann könnte ich damit noch warten.
 

ergowebshop

Sehr aktives Mitglied
14. Januar 2022
222
62
Was mich noch interessieren würde: Ist beim Patchupdate auf Shop 5.3.3 noch etwas mehr verändert worden, als diese einzelne Zeile? Oder geht es im Grunde nur darum, dass die Fehlermeldung wegen veränderter Dateien durch den Patch verschwindet? Dann könnte ich damit noch warten.
Dann warst du wohl zu schnell durch, es steht nämlich auch in der Rundmail: "falls Sie nicht updaten können, finden Sie unter folgenden Links eine Anleitung zum Beheben der Sicherheitslücke".

Die Zeile korrigieren behebt das Sicherheitsrisiko auf die Schnelle, aber man sollte doch zeitnah auf die jeweils aktuelle Version gehen, über den normalen Updateweg, vorher natürlich wie immer Testen und Plugin-Kompatibilität prüfen.

Aber wie @JohnFrea schon geschrieben hat, irgendwie sind da noch tausende weitere Dateien im Update-Paket obwohl eigentlich nicht viel geändert wurde.
 
  • Haha
Reaktionen: Shop-Schmied

Shop-Schmied

Sehr aktives Mitglied
4. Februar 2014
409
78
Ok, wer lesen kann ... ;) . Aber den Patch noch einzuspielen sollte ja nicht das Problem darstellen. Gabs in der Vergangenheit auch ab und zu.
 

Stanislav

Aktives Mitglied
17. November 2023
20
3
Kann man sowas als Laie selbst durchführen (fixen) oder brauche ich da eher einen externen Support? Habe bereits ein Angebot für 300,-- pro shop erhalten, das kommt mir etwas viel vor.
gibts da ne Anleitung wie man an den Quelltext an die betreffende Stelle kommt um die zeile zu tauschen?
Danke Vorab!
Könnten Sie bitte sagen:
1. Welche Versionen Ihrer Online-Shops?
2. Wie viele *.tpl in Child?
3. Wie viel Plugins hat jede Shop?

Höchstwahrscheinlich wurden Ihnen nicht nur ein Patch angeboten, sondern auch auf die neuesten 5.3.3 aktualisieren.
 
Zuletzt bearbeitet:

MRacer

Aktives Mitglied
11. Januar 2024
55
5
Unsere Agentur hat uns generell gewarnt, Upadates selbst vorzunehmen (zwecks Kompatibilität).
Habe ich das richtig verstanden: Wenn wir nur die Zeile aus der Anleitung austauschen, brauchen wir die Shopversion nicht updaten!?
Bei uns ist es:
- Shop-Version 5.2.3
- Ein .tpl im Child
- 8 Plugins
 

John

Sehr aktives Mitglied
3. März 2012
4.138
1.055
Berlin
5.23 ist ja generell alt. Ja, die kann man nochmal auf die schnelle patchen aber ein Udpate ist mittelfristig angeraten.

Das "mal eben" zu patchen, kann man nach Anleitung auch selbst machen. Oder einen kleinen Taler für die Agentur. Das Rechnung schreiben sollte mehr kosten, als das Änderung machen...
 
  • Gefällt mir
Reaktionen: MRacer

MRacer

Aktives Mitglied
11. Januar 2024
55
5
5.23 ist ja generell alt. Ja, die kann man nochmal auf die schnelle patchen aber ein Udpate ist mittelfristig angeraten.

Das "mal eben" zu patchen, kann man nach Anleitung auch selbst machen. Oder einen kleinen Taler für die Agentur. Das Rechnung schreiben sollte mehr kosten, als das Änderung machen...
Danke John!
Hast du eine Empfehlung zu einer Agentur im Raum Stuttgart, die uns beim Update etc. unterstützen kann?
 
Ähnliche Themen
Titel Forum Antworten Datum
Fehlermeldung beim Einlesen der Buchungen in JTL Fibu JTL-Wawi 2.0 0
Neu Shop 5.7.2 - JTL PayPal Checkout legt alles lahm JTL-Shop - Fehler und Bugs 4
JTL-Ameise 2.04 - Export Rechnungen csv - unvollständig JTL-Wawi 2.0 12
Neu Belege aus JTL Wawi zu Lexoffice Schnittstellen Import / Export 5
Neu Varianten die nicht online in JTL geschaltet sind werden trotzdem zu Shopify geladen Shopify-Connector 2
Neu Gesucht: JTL-Systempartner/Freelancer mit Erfahrung in Personalisierungs-/Gravur-Fulfillment Dienstleistung, Jobs und Ähnliches 3
Neu JTL Stammtisch Stuttgart Messen, Stammtische und interessante Events 0
Neu Copy/Paste Abstürze seit JTL-Wawi 2.0.5 User helfen Usern - Fragen zu JTL-Wawi 4
Gelöst: Störung bei LInk11 - JTL- Shops teilweise nicht erreichbar Störungsmeldungen 1
JTL Update auf 1.9 , danach Import Kundenspezifrische Preise velerhaft JTL-Wawi 1.9 0
Wie übernehme ich Artikelnamen von JTL in den neuen Kaufland Niederlande-Verkaufskanal? JTL-Wawi 1.11 1
Neu Wie stelle ich Retouren in JTL für DPD ein? JTL-ShippingLabels - Ideen, Lob und Kritik 1
Neu JTL Wawi 1.11.11 - Zahlungsabgleich bei FYRST Bank verlangt immer Passwort User helfen Usern - Fragen zu JTL-Wawi 0
Neu JTL Shop Plugin - BD Automatisierter Widerruf (Von Händler für Händler - Schluss mit Mail-Chaos & Spam-Sorgen!) Plugins für JTL-Shop 0
Neu Der wahrscheinlich östlichste JTL Servicepartner: Standortvorteil, faire Preise und vieles mehr Dienstleistung, Jobs und Ähnliches 16
Neu Welche JTL Shop Plugins oder kleinen Hilfstools würden euch im Alltag wirklich helfen? Plugins für JTL-Shop 0
Neu JTL ShippingLabels - Meldungen JTL-ShippingLabels - Fehler und Bugs 7
Neu Beta-Tester gesucht: Produktdaten aus Artikelfotos schneller für JTL/CSV vorbereiten Dienstleistung, Jobs und Ähnliches 0
Neu oAuth Credentials Login mit JTL .. WO? User helfen Usern 1
Neu Installationsdatei für JTL‑Wawi 1.9.6.5 Installation von JTL-Wawi 2
Neu kostenlos: DHL Sendungsverfolgung für JTL-Wawi – Web-Dashboard mit Frühwarnsystem Schnittstellen Import / Export 0
Neu JTL Wawi 2.0 oder höher WooCommerce-Connector 0
Changelog jtl Wawi 2.0.5 JTL-Wawi 2.0 10
Neu Ist es ohne Probleme möglich Cloudflare in der Free Version mit JTL zu nutzen? Allgemeine Fragen zu JTL-Shop 7
JTL 5.7.1 Widerrufsformular massiver SPAM Einrichtung JTL-Shop5 3
JTL Wawi 1.11.xx langsam unbenutzbar! JTL-Wawi 1.11 4
Neu Plugin: JTL Exportformat Google Shopping gibt <g:google_product_category> unter Shop 5.7.1 und Wawi 2.0.4 nicht aus Plugins für JTL-Shop 1
Neu Widerrufsbutton für JTL-Shop 4 Allgemeine Fragen zu JTL-Shop 17
Neu Rabatte aus dem JTL-Shop werden in der Wawi nur als Netto-Preis übernommen, Rabatt % gehen verloren Onlineshop-Anbindung 0
JTL Anmeldung letzter Benutzer JTL-Wawi 1.11 3
Test-Kunden als solche in JTL markieren, um die Auswertungen sauber zu halten? JTL-Wawi 1.11 1
Neu Ab Wawi 1.10 - JTL.Wawi.Pos.exe direkt ohne JTL-Administrator starten? Allgemeine Fragen zu JTL-POS 2
Neu JTL-Shop - Wechsel von Test zum Livebetrieb - was beachten ? Installation / Updates von JTL-Shop 2
JTL APP - Fehlermeldung nach Update auf Wawi 1.11. JTL-Wawi App 6
Eigener Drittshop-Connector (jtl/connector 5.3): valide Variationskombinationen werden mit „besitzt keine Variationen" nicht gesendet JTL-Wawi 1.11 1
JTL Wawi 1.11. - Fenstergröße - Artikel auf Einkaufsliste setzen JTL-Wawi 1.11 13
Neu Problem mit dem JTL-Connector – Invalid Shopify connection credentials. Shopify-Connector 3
Neu JTL Artikelanlage mit KI beschleunigen User helfen Usern - Fragen zu JTL-Wawi 2
Neu JTL-Wawi Shopabgleich per E-Mail überwachen (Warnungen & Fehler) Onlineshop-Anbindung 1
Neu Helfen Lösungen wie Unicorn wirklich, um die teuren Preise bei JTL zu vermeiden? Amazon-Anbindung - Ideen, Lob und Kritik 1
Neu Meta Shop seit September 2025: JTL-Lösung für neue Checkout-URL gesucht Allgemeine Fragen zu JTL-Shop 0
Neu Bug? Führende Nullen bei Sendungsnummern verschwinden in JTL-Wawi 2.0.3 JTL-ShippingLabels - Fehler und Bugs 1
DPD Cloud Labeldruck auf Zebra LP 2844-Z seit Update auf JTL-Wawi 1.11.x fehlerhaft JTL-Wawi 1.11 3
JTL nach Update auf 2.0.3 im Bereich „Kunden“ extrem langsam JTL-Wawi 2.0 1
Neu DHL 4.0 mit JTL-ShippingLabels funktioniert nicht JTL-ShippingLabels - Fehler und Bugs 2
JTL-Wawi sucht falschen ShopType nach Gambio-Update JTL-Wawi 1.7 2
Neu JTL Lizensserver ist nicht erreichbar eBay-Anbindung - Fehler und Bugs 0
Nach update 1.8>1.11 Kein Mandant in JTL-Wawi gefunden JTL-Wawi 1.11 5
Angebliche externe Aufträge "für Rechnungserstellung freigeben" und Rechnungen erstellen. Gibt es dazu eine akzeptable Erklärung von JTL? JTL-Wawi 1.11 1
Rabatt Coupons in Verbindung mit Staffelpreisen - JTL 1.11.9, JTL Shop JTL-Wawi 1.11 0

Ähnliche Themen