Kritische Sicherheitslücke in JTL-Shop (ab 5.0.0): jetzt patchen

JTL hat eine kritische Sicherheitslücke in JTL-Shop bekanntgegeben. Betroffen sind alle Shop-Versionen ab 5.0.0. Die gute Nachricht: Für jede betroffene Version steht bereits ein geprüfter Patch bereit. Wer einen JTL-Shop betreibt, sollte jetzt zeitnah handeln.

Die Schwachstelle wurde von JTL gemeinsam mit dem Sansec Threat Research Team identifiziert und eingegrenzt. Konkrete Hinweise auf eine Ausnutzung liegen laut JTL nicht vor – aufgrund der Art der Lücke lässt sich eine frühere Ausnutzung aber nicht zuverlässig ausschließen. Daher gilt: lieber zügig aktualisieren.

Wer ist betroffen?

Jeder JTL-Shop ab Version 5.0.0. Ihre aktuell genutzte Version finden Sie im Informations-Widget auf dem Dashboard im Shop-Backend (/admin).

Was JTL bereits getan hat

Die Schwachstelle gemeinsam mit externen Sicherheitsforschern verifiziert und klar eingegrenzt.
Geprüfte Patches für alle aktiven Shop-5-Versionen bereitgestellt.
Kunden im JTL-Hosting wurden bereits automatisch abgesichert. Dort erscheint lediglich ein Hinweis auf eine modifizierte Datei – es ist nichts weiter zu tun.

Was Sie jetzt tun sollten

Aktualisieren Sie Ihren Shop auf die passende gepatchte Version:

Shop 5.5.4
Shop 5.6.2
Shop 5.7.2
Sammel-Patch für Shop 5.0.0 bis 5.7.0 (für ältere Versionen und das manuelle Beheben)

Sind Sie bereits auf 5.5.3, 5.6.1 oder 5.7.1, aktualisieren Sie über den jeweiligen Patch auf die nächsthöhere Version. Die Downloads und Anleitungen stellt JTL im JTL-Forum bereit.

Nutzen Sie eine ältere Version (z. B. 5.0.0–5.0.7, 5.1.0–5.1.8, 5.2.0–5.2.7, 5.3.0–5.3.4, 5.4.0–5.4.1, 5.5.0–5.5.2, 5.6.0 oder 5.7.0) und können nicht auf eine aktuelle Version updaten, gibt es den Sammel-Patch (Shop 5.0.0 bis 5.7.0) zum manuellen Beheben.

Wichtig: Ältere JTL-Shop-Versionen können weitere Sicherheitslücken enthalten. Halten Sie Ihren Shop grundsätzlich aktuell. Eine Übersicht aller Versionen finden Sie im JTL-Releaseforum.

Nach dem Update

Haben Sie auf eine gepatchte Version aktualisiert, ist nichts Weiteres zu beachten.

Haben Sie eine ältere Version manuell gepatcht, zeigt das Backend einen Hinweis auf eine modifizierte Datei. Für die folgende Datei ist das normal – er verschwindet erst mit einem Update auf eine entsprechende neue Version:

/includes/src/Mail/Renderer/SmartyRenderer.php

Technische Details

Es handelt sich um eine Server-Side Template Injection (SSTI) im Betreff einer E-Mail. Darüber lässt sich potenziell der Blowfish-Key oder das Datenbankpasswort auslesen. Ab Shop 5.4.0 ist zusätzlich eine Remote Code Execution (RCE) möglich. Die Art der Schwachstelle erlaubt keine zuverlässige Aussage darüber, ob sie vor der Entdeckung ausgenutzt wurde; konkrete Missbrauchshinweise liegen nicht vor.

Sie sind unsicher, welche Version bei Ihnen läuft, kommen beim Update nicht weiter oder müssen eine ältere Version manuell absichern? Sprechen Sie uns an – wir bringen Ihren JTL-Shop sicher und ohne Datenverlust auf den aktuellen Stand. Im Notfall erreichen Sie uns auch per WhatsApp.