Update von Shopware behebt Sicherheitslücke
zurück zur Übersicht
Teaser-Grafik zum wichtigen Shopware-Update 6.7.8.1 mit Sicherheitswarnung, digitalem Schutzschild-Motiv und Hinweis auf behobene kritische Sicherheitslücken.
18. März 2026

Update von Shopware behebt Sicherheitslücke

Am 16. März 2026 hat Shopware kurzfristig ein sicherheitsrelevantes Update veröffentlicht. Direkt nach dem Release der Version 6.7.8.0 wurde mit Version 6.7.8.1 ein Security Release nachgeschoben. Der Grund: mehrere Sicherheitslücken mit der Einstufung „critical“, die alle Shopware-Versionen bis einschließlich 6.7.8.0 betreffen.

Unser Rat: Warten Sie nicht. Sicherheitslücken der Kategorie „critical“ sollten immer mit höchster Priorität behandelt werden.

Überblick über das Security Release 6.7.8.1

Das Update umfasst insgesamt mehrere sicherheitskritische Verbesserungen in zentralen Systembereichen:

  • App-Registrierung und Secret-Management
  • Login- und Authentifizierungslogik
  • Validierung von API-Parametern im Order-Kontext

Das System wurde unter aktuellen Umgebungen getestet, darunter:

  • PHP 8.2, 8.4 und 8.5
  • MySQL 8
  • MariaDB 11

1. Absicherung der App-Registrierung durch doppelte Signaturprüfung

Ein zentraler Bestandteil des Updates ist die Überarbeitung des sogenannten App-Reregistration-Flows. Dieser Prozess kommt zum Einsatz, wenn externe Apps erneut mit einem Shop verbunden oder aktualisiert werden.

Technische Schwachstelle

Vor dem Update bestand das Risiko, dass App-Secrets unter bestimmten Umständen nicht ausreichend abgesichert aktualisiert werden konnten. Dies hätte potenziell unautorisierten Zugriff auf Schnittstellen ermöglicht.

Umsetzung der Lösung

Das Update führt mehrere sicherheitsrelevante Mechanismen ein:

  • Asynchrone Rotation von App-Secrets
  • Neuer API-Endpunkt zur Secret-Rotation
  • CLI-Befehl für administrative Steuerung
  • Zweistufige Signaturverifikation (Double Signature Verification)

Sicherheitsgewinn

Durch die doppelte Signaturprüfung wird sichergestellt, dass:

  • Änderungen nur von autorisierten Parteien durchgeführt werden
  • Manipulationen während des Registrierungsprozesses verhindert werden
  • Secrets nicht unbemerkt ausgetauscht werden können

Dieser Ansatz entspricht modernen Sicherheitsstandards im Bereich API-Authentifizierung und Secret-Management.

2. Schutz vor Account Enumeration im Login-Prozess

Ein besonders kritischer Punkt war das bisherige Verhalten beim Login.

Problem: Unterschiedliche Fehlermeldungen

Vor dem Update konnte das System unterscheiden zwischen:

  • Nicht existierender E-Mail-AdresseCustomerNotFoundException
  • Falschem PasswortBadCredentialsException

Diese Differenzierung eröffnete Angreifern die Möglichkeit zur sogenannten User Enumeration.

Angriffsszenario

Durch automatisierte Login-Versuche konnten Angreifer:

  • gültige E-Mail-Adressen identifizieren
  • gezielt Passwort-Angriffe (z. B. Brute Force) durchführen
  • Datenbanken mit echten Benutzerkonten aufbauen

Lösung im Update

Die LoginRoute sowie der AccountService wurden angepasst:

  • Es wird immer eine generische Fehlermeldung ausgegeben (BadCredentialsException)
  • Es erfolgt keine Rückmeldung mehr, ob eine E-Mail-Adresse existiert

Sicherheitsgewinn

  • Keine Rückschlüsse auf gültige Accounts möglich
  • Reduktion der Angriffsfläche für automatisierte Attacken
  • Konformität mit Best Practices im Bereich Authentifizierung

3. Verbesserte Validierung im Order-Kontext

Ein weiterer Fix betrifft die Verarbeitung von Filterparametern innerhalb der OrderRoute.

Problem

Die Methode OrderRoute::load überprüfte den deepLinkCode-Filter nicht strikt genug. Dadurch konnten unerwartete oder fehlerhafte Filtertypen verarbeitet werden.

Lösung

Die Validierung wurde verschärft:

  • Der Filter muss nun explizit eine Instanz von EqualsFilter sein
  • Ungültige Typen werden konsequent ausgeschlossen

Sicherheitsgewinn

  • Verhinderung von inkonsistenten Datenabfragen
  • Reduktion potenzieller Angriffspunkte über manipulierte Requests
  • Stabilere und vorhersehbare API-Verarbeitung

Sicherheitsupdate ohne vollständiges System-Upgrade

Nicht jeder Shop kann kurzfristig ein vollständiges Versionsupdate durchführen. Daher stellt Shopware alternative Wege bereit:

  • Für Version 6.6 steht das Security Release direkt zur Verfügung
  • Für 6.5 und höher können Sicherheits-Patches über ein Plugin eingespielt werden

Diese Option ermöglicht es, kritische Sicherheitslücken zu schließen, ohne sofort ein umfassendes Update durchführen zu müssen. Dennoch sollte dies nur eine Übergangslösung sein.

Warum Sicherheitsupdates unverzichtbar sind

Sicherheitsupdates sind kein optionales Wartungsthema, sondern ein zentraler Bestandteil der Systemintegrität.

1. Schutz sensibler Daten

Onlineshops verarbeiten hochsensible Informationen:

  • Kundendaten
  • Zahlungsinformationen
  • Bestellhistorien

Ungepatchte Systeme stellen ein erhebliches Risiko für Datenlecks dar.

2. Vermeidung wirtschaftlicher Schäden

Ein erfolgreicher Angriff kann führen zu:

  • Umsatzausfällen
  • Reputationsverlust
  • rechtlichen Konsequenzen (z. B. DSGVO-Verstöße)

3. Einhaltung von Sicherheitsstandards

Regelmäßige Updates sind Bestandteil von:

  • Compliance-Anforderungen
  • IT-Sicherheitsrichtlinien
  • Audit-Vorgaben

4. Minimierung der Angriffsfläche

Viele Angriffe zielen gezielt auf bekannte Schwachstellen ab. Sobald eine Lücke öffentlich dokumentiert ist, steigt die Wahrscheinlichkeit automatisierter Angriffe drastisch.

Handlungsempfehlung

Wir empfehlen allen Shopware-Betreibern:

  1. Zeitnahes Update auf Version 6.7.8.1

  2. Alternativ: Installation der bereitgestellten Sicherheits-Patches

  3. Regelmäßige Überprüfung der Update-Strategie

  4. Monitoring von Security Advisories

Event-Grafik zum Havelfest in Brandenburg an der Havel vom 19. bis 21. Juni mit Konzertbühne, Besuchern am Ufer und Hinweis auf Timme Hosting als Premiumpartner.
03. Juni 2026

Premiumpartner beim Havelfest

Wie schon in den letzten Jahren unterstützt Timme Hosting auch 2026 die 61. Ausgabe des Havelfestes (19.-21.06.) in Brandenburg an der Havel als Premiumpartner. Drei spannende Tage finden rund um das Salzhofufer statt.
Teaser-Grafik zur verpflichtenden Zwei-Faktor-Authentifizierung mit Fingerabdruck-Scanner im Serverraum-Hintergrund und Hinweis auf verschärfte Sicherheitsvorkehrungen
27. Mai 2026

Zwei-Faktor-Authentifizierung: Warum ein Passwort allein längst nicht mehr ausreicht

Passwörter allein bieten längst keinen ausreichenden Schutz mehr. Die 2FA ergänzt Logins um eine zusätzliche Sicherheitsebene und schützt effektiv vor Phishing, Datenlecks und Kontoübernahmen. Erfahren Sie, warum 2FA heute unverzichtbar ist.
Event-Grafik zur FKM Firmenkontaktmesse am 10.06.2026 an der TH Brandenburg mit Standplatz 17 und Hinweis zur Terminvereinbarung.
20. Mai 2026

Firmenkontaktmesse an der THB

Am 10. Juni 2026 ist Timme Hosting auf der Firmenkontaktmesse der TH Brandenburg vertreten. Lerne unser Team persönlich kennen und informiere Dich über Einstiegsmöglichkeiten und Karrierechancen in der Hosting- und IT-Branche.

Testen Sie uns 14 Tage kostenlos Jetzt testen