Kritische Sicherheitslücke in JTL-Shop3 und JTL-Shop4

Im Upload-Modul von JTL-Shop (alle Versionen) gibt es eine kritische Sicherheitslücke, die dringend gefixt werden muss, Betroffen sind grundsätzlich alle Shops, da die Datei für das Upload-Modul immer installiert ist, auch wenn das Modul nicht gekauft oder lizensiert wurde. Deshalb haben wir heute bei allen Hosting-Tarifen und Kunden mit dedizierten Servern und Service-Vertrag die betroffenen Dateien gelöscht (includes/ext/uploads_cb.php) und somit die Gefahr gebannt.

Kunden die das Upload-Modul im Einsatz haben müssen nun jedoch die gepatchte Version wieder einspielen um die Funktionalität wieder herzustellen. Dies können sie selbst über den Datei-Manager in ihrem Hosting oder via FTP. Alle Shop-Kunden mit Lizenz wurden durch JTL-Software selbst per E-Mail informiert. Dort finden sie auch weitere Informationen und Details zu den Patches für JTL-Shop3 oder Shop4. Sollten Sie hierbei Schwierigkeiten haben, die Patches einzuspielen, stehen wir ihnen ab Montag hier helfend zur Seite. 

Nochmals zusammengefasst: 

Auf allen shared JTL-Shop-Hostings wurde die kritische Datei durch CMO direkt  entfernt. Nutzen Sie das Upload-Modul im JTL-Shop müssen sie den Patch einspielen, damit das Upload-Modul wieder funktioniert. Wenn nicht, dann müssen sie nichts weiter tun. Bei allen Kunden mit Dedicated Shop-Server UND einem Service-Vertrag wurde ebenfalls die Datei gelöscht. Auch hier muss der Patch eingespielt werden, wenn das Upload-Modul Verwendung findet. Dies können sie selbst, oder ab Montag durch uns vornehmen lassen.

Kunden mit Dedicated Server und OHNE Service-Vertrag müssen sich selbst um das Einspielen des Patches kümmern. Auch hier stehen wir ab Montag zur Verfügung oder über die Sofort-Hilfe-Hotline auch am Wochenende.

Bei Fragen schreiben sie bitte an support@cmo.de