Shopware 5.5.2 security patch

Shopware 5.5.2 Security Patch.

Shopware 5.5.2 is nu beschikbaar. Deze security patch bevat meerdere beveiligingsverbeteringen, bugfixes en optimalisaties. Daarnaast heeft Shopware ook meerdere kwetsbaarheden kunnen afsluiten op het “matige tot zeer lage” dreigingsniveau. De volgende beveiligingslekken worden opgelost met deze release: het toelaten van XSS-aanvallen wanneer CSRF-bescherming is uitgeschakeld en Geverifieerde backend of API-gebruikers die kwaadaardige code kunnen uitvoeren via beeldupload. Alle Shopware-versies van 5.0.0 tot 5.5.1 worden beïnvloed.

De Security update is beschikbaar voor de volgende Shopware-versie:

Deze update vereist Shopware 5.0.0 of nieuwer. Lees eerst de release notes voor alle releases tussen jouw versie en de versie waarnaar je wil updaten. Bekijk hier de release notes.

Lijst met ontdekte en opgeloste veiligheidsproblemen

  • SW-22575 – Improved the support for custom order- and payment-statuses
  • SW-20804 – Meta description length is now configurable
  • SW-19767 – Fixes problems with incremented failed login counts on guest accounts
  • SW-19914 – Added pagination to order country select
  • SW-21967 – Replace file-protocol of file-URL with empty string
  • SW-21236 – The shop URL is no longer added multiple times in shopping worlds media elements
  • SW-22462 – Privacy checkbox will be now correct displayed in Edge
  • SW-22138 – Added voteAverage.average mapping for elastic search indexing
  • SW-22326 – Added index.max_result_window for ES to config.php to have the possibility to change the maximum amount of shown articles per category
  • SW-22320 – Fixed the “Immediate delivery”-filter condition for ElasticSearch use
  • SW-22481 – Added new smarty block to emotion index tpl
  • SW-18792 – Variants of a product can now be sorted by stock
  • SW-20226 – Added column “active” for product feed-list in the backend
  • SW-20233 – Plugin Manager reloads now on plugin update failures
  • SW-20325 – Alert window added when overwriting or deleting documents
  • SW-20552 – Voucher Extjs Model definition fixed
  • SW-20765 – Company and department will be shown in pdf documents if corresponding variables are filled
  • SW-20766 – Added some newsletter events for un-/subscribe and sendMail
  • SW-20801 – Remove overlay-class from body-tag in any case while closing the overlay (removed the if-condition)
  • SW-20870 – Removed article link and delete button for rebate articles from offcanvas
  • SW-20968 – Added instance check for ES category facet
  • SW-21019 – Removed unused code that was used for checking the vat-id during registration
  • SW-21228 – Fixed default value of required in config.xsd
  • SW-21304 – Plugin configurations are sorted by their order in config.xml
  • SW-21305 – Added `Theme` typehint to class `LessDefinition`
  • SW-21306 – Add possibility to remove a supplier image via REST API
  • SW-21359 – Retry-After header added to maintenance page
  • SW-21447 – Added method ‘getListQueryBuilder’ to ‘Shopware/Models/Order/Repository.php’
  • SW-21586 – Filling the href-attribute of the wrapping a-tag of the thumbnails on detail page with the correct image url
  • SW-21605 – Use `getRawBody()` instead of `php://input` in `JsonRequest`
  • SW-21813 – Take the current configuration values for thumbnail quality, high-res thumbnail quality and generation of high-res thumbnails into account when creating a new sub-album.
  • SW-21925 – In the article module preview now the standard shop is preselected
  • SW-21949 – Article Slider can now be sorted by random products
  • SW-22016 – Added event to the variant generation
  • SW-22081 – Removed unused function in Emotion widget
  • SW-22234 – Added new block `frontend_listing_box_article_image_attributes` in `listing/product-box/product-image.tpl`
  • SW-22311 – Added new entries for `curl_exec` and `curl_multi_exec` to the system requirements list.
  • SW-22341 – Added paging compatibility for the custom “sPage” short parameter
  • SW-22357 – Fixes generation of DOI link in non-frontend contexts
  • SW-22359 – Added numeric amounts for basket items
  • SW-22361 – `\Shopware\Models\Form\Repository::getListQueryBuilder` can now be called without parameters
  • SW-22373 – Added amountNumeric and priceNumeric to order items in template
  • SW-22409 – Time difference of MySQL and PHP is now displayed in system info
  • SW-22471 – Added scrollbar to shopping world attributes
  • SW-22487 – Added event in the notification plugin to be able to modify the QueryBuilder
  • SW-22522 – Outsourced variant link change to own method
  • SW-22525 – Improves migration from Shopware 4 to 5
  • SW-22555 – Parameters in data-attributes are now applied automatically in the `swRegister` plugin
  • SW-22570 – Productstreams in categories are now translatable

Hoe installeer ik de patch?

Er zijn twee manieren om jouw Shopware-omgeving te updaten.

Optie 1. Shopware updaten via de downloadpagina

Je kunt het automatische update proces gebruiken of je kunt jouw omgeving eenvoudigweg updaten via de Github downloadpagina. Kijk hier voor de download.

Optie 2. Shopware updaten via de plugin

Het is tevens mogelijk om Shopware te updaten via de Shopware Security Plugin. Je kunt de Shopware Security Plugin downloaden via de plugin shop of gebruik de Plugin Manager van jouw Shopware Backend. Download de plugin en volg daarna onderstaande stappen. Kijk hier voor het downloaden van de plugin.

1. Installeer en activeer de plugin.

2. Als je de plugin al gebruikt kan je deze eenvoudig bijwerken naar de nieuwste versie om jouw Shopware-omgeving te beveiligen.

Let op: mocht je problemen ondervinden tijdens het bijwerken van de plugin, dan kun je deze issues uitschakelen via de plugin instellingen.

Updaten, wel of niet?

Updaten is niet geheel zonder risico, maak daarom altijd een back-up en test uitvoerig. Zorg ervoor dat je de patch eerst in een ontwikkelomgeving implementeert en test om te bevestigen dat deze werkt zoals verwacht. Nog geen ontwikkelomgeving? Bekijk dan onze handleiding om zelf een ontwikkelomgeving op te zetten: Shopware ontwikkelomgeving opzetten.