Shopware thumbnail

Shopware 5.5.2 Security Patch.

Shopware 5.5.2 is nu beschikbaar. Deze security patch bevat meerdere beveiligingsverbeteringen, bugfixes en optimalisaties. Daarnaast heeft Shopware ook meerdere kwetsbaarheden kunnen afsluiten op het "matige tot zeer lage" dreigingsniveau. De volgende beveiligingslekken worden opgelost met deze release: het toelaten van XSS-aanvallen wanneer CSRF-bescherming is uitgeschakeld en Geverifieerde backend of API-gebruikers die kwaadaardige code kunnen uitvoeren via beeldupload. Alle Shopware-versies van 5.0.0 tot 5.5.1 worden beïnvloed.

De Security update is beschikbaar voor de volgende Shopware-versie:

Deze update vereist Shopware 5.0.0 of nieuwer. Lees eerst de release notes voor alle releases tussen jouw versie en de versie waarnaar je wil updaten. Bekijk hier de release notes.

Lijst met ontdekte en opgeloste veiligheidsproblemen
  • SW-22575 - Improved the support for custom order- and payment-statuses
    SW-20804 - Meta description length is now configurable
    SW-19767 - Fixes problems with incremented failed login counts on guest accounts
    SW-19914 - Added pagination to order country select
    SW-21967 - Replace file-protocol of file-URL with empty string
    SW-21236 - The shop URL is no longer added multiple times in shopping worlds media elements
    SW-22462 - Privacy checkbox will be now correct displayed in Edge
    SW-22138 - Added voteAverage.average mapping for elastic search indexing
    SW-22326 - Added index.max_result_window for ES to config.php to have the possibility to change the maximum amount of shown articles per category
    SW-22320 - Fixed the "Immediate delivery"-filter condition for ElasticSearch use
    SW-22481 - Added new smarty block to emotion index tpl
    SW-18792 - Variants of a product can now be sorted by stock
    SW-20226 - Added column "active" for product feed-list in the backend
    SW-20233 - Plugin Manager reloads now on plugin update failures
    SW-20325 - Alert window added when overwriting or deleting documents
    SW-20552 - Voucher Extjs Model definition fixed
    SW-20765 - Company and department will be shown in pdf documents if corresponding variables are filled
    SW-20766 - Added some newsletter events for un-/subscribe and sendMail
    SW-20801 - Remove overlay-class from body-tag in any case while closing the overlay (removed the if-condition)
    SW-20870 - Removed article link and delete button for rebate articles from offcanvas
    SW-20968 - Added instance check for ES category facet
    SW-21019 - Removed unused code that was used for checking the vat-id during registration
    SW-21228 - Fixed default value of required in config.xsd
    SW-21304 - Plugin configurations are sorted by their order in config.xml
    SW-21305 - Added `Theme` typehint to class `LessDefinition`
    SW-21306 - Add possibility to remove a supplier image via REST API
    SW-21359 - Retry-After header added to maintenance page
    SW-21447 - Added method 'getListQueryBuilder' to 'Shopware/Models/Order/Repository.php'
    SW-21586 - Filling the href-attribute of the wrapping a-tag of the thumbnails on detail page with the correct image url
    SW-21605 - Use `getRawBody()` instead of `php://input` in `JsonRequest`
    SW-21813 - Take the current configuration values for thumbnail quality, high-res thumbnail quality and generation of high-res thumbnails into account when creating a new sub-album.
    SW-21925 - In the article module preview now the standard shop is preselected
    SW-21949 - Article Slider can now be sorted by random products
    SW-22016 - Added event to the variant generation
    SW-22081 - Removed unused function in Emotion widget
    SW-22234 - Added new block `frontend_listing_box_article_image_attributes` in `listing/product-box/product-image.tpl`
    SW-22311 - Added new entries for `curl_exec` and `curl_multi_exec` to the system requirements list.
    SW-22341 - Added paging compatibility for the custom "sPage" short parameter
    SW-22357 - Fixes generation of DOI link in non-frontend contexts
    SW-22359 - Added numeric amounts for basket items
    SW-22361 - `\Shopware\Models\Form\Repository::getListQueryBuilder` can now be called without parameters
    SW-22373 - Added amountNumeric and priceNumeric to order items in template
    SW-22409 - Time difference of MySQL and PHP is now displayed in system info
    SW-22471 - Added scrollbar to shopping world attributes
    SW-22487 - Added event in the notification plugin to be able to modify the QueryBuilder
    SW-22522 - Outsourced variant link change to own method
    SW-22525 - Improves migration from Shopware 4 to 5
    SW-22555 - Parameters in data-attributes are now applied automatically in the `swRegister` plugin
    SW-22570 - Productstreams in categories are now translatable
Hoe installeer ik de patch?

Er zijn twee manieren om jouw Shopware-omgeving te updaten.

Optie 1. Shopware updaten via de downloadpagina

Je kunt het automatische update proces gebruiken of je kunt jouw omgeving eenvoudigweg updaten via de Github downloadpagina. Kijk hier voor de download.

Optie 2. Shopware updaten via de plugin

Het is tevens mogelijk om Shopware te updaten via de Shopware Security Plugin. Je kunt de Shopware Security Plugin downloaden via de plugin shop of gebruik de Plugin Manager van jouw Shopware Backend. Download de plugin en volg daarna onderstaande stappen. Kijk hier voor het downloaden van de plugin.

1. Installeer en activeer de plugin.

2. Als je de plugin al gebruikt kan je deze eenvoudig bijwerken naar de nieuwste versie om jouw Shopware-omgeving te beveiligen.

Let op: mocht je problemen ondervinden tijdens het bijwerken van de plugin, dan kun je deze issues uitschakelen via de plugin instellingen.

Updaten, wel of niet?

Updaten is niet geheel zonder risico, maak daarom altijd een back-up en test uitvoerig. Zorg ervoor dat je de patch eerst in een ontwikkelomgeving implementeert en test om te bevestigen dat deze werkt zoals verwacht. Nog geen ontwikkelomgeving? Bekijk dan onze handleiding om zelf een ontwikkelomgeving op te zetten: Shopware ontwikkelomgeving opzetten.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *