Die neue Version 4.06 Build 14 für den JTL-Shop4 Version ist erschienen. Diese enthält Bugfixes, Sicherheitsupdates für JTL-Shop4 und Updates zu Plugins.
WICHTIG: Um auch künftig Angriffen vorzubeugen, sollten Sie dringend auf die aktuelle Version des JTL-Shop's updaten.
Weiteres zur neuen Version und Download finden Sie direkt in Ihrem KIS Kundencenter (unter login.photografix.ch) oder in Ihrem Webshop Kundenkonto: https://shop.wawi.ch/jtl.php.
Weitere Infos und ChangeLog zur Version 4.06 Build 14 unter: https://forum.jtl-software.de/threads/jtl-shop-4-06.114397/#post-667505
--- Sicherheitsfix in JTL-Shop 4.06.14 ---
Ab JTL-Shop 4.0 war es unter Umständen möglich, über das standardmäßig enthaltene Plugin „Evo-Editor“ beliebigen Code von außen einzuschleusen - unabhängig vom Installationsstatus des Plugins.
Es sind bisher keine Fälle bekannt, in denen diese Möglichkeit in JTL-Shops ausgenutzt wurde.
Kunden mit Onlineshops mit Update Abo haben unseren Sicherheitsfix als Plugin-Update bereits erhalten – hier besteht also kein Handlungsbedarf.
Ein Sicherheitsfix liegt mit Version 1.01 des Evo-Editor-Plugins vor.
Diese Plugin-Version ist Bestandteil des Patch-Updates JTL-Shop 4.06.14. Wir empfehlen Ihnen, das Update so bald wie möglich durchzuführen, um Ihren Shop vor potentiellen Angriffen zu schützen.
Sollte ein Update nicht möglich sein, entfernen Sie bitte das Plugin „Evo-Editor“ durch Löschen des Plugin-Ordners in Ihrem Webspace, wie im folgenden Absatz beschrieben.
--- Sofortmaßnahme für die JTL-Shop-Versionen 4.0 bis 4.06.13 ---
Sie können Ihren JTL-Shop schnell und effektiv schützen, indem Sie das Plugin im Dateisystem des Servers löschen.
Das Plugin befindet sich standardmäßig im Verzeichnis includes/plugins/. Bitte löschen Sie dort den Ordner "evo_editor" mitsamt Inhalt. Eine Deinstallation über das Admin-Backend ist nicht ausreichend.
--- Ihren Shop überprüfen ---
Ein potentieller Angriff erfolgt über eine POST-Anfrage auf https://SHOP.TLD/includes/plugins/evo_editor/evo_editor/version/100/adminmenu/api.php.
Entsprechende Zugriffe auf diese Datei werden im Access-Log Ihres Webservers festgehalten.
Auch wenn uns bisher kein Verdacht vorliegt, empfehlen wir Ihnen, das Access-Log Ihres Servers auf entsprechende Aufrufe zu prüfen.
Sollten hier Aufrufe protokolliert sein, die nicht von Ihren IP-Adressen stammen, setzen Sie sich bitte umgehend mit unserem Support-Team in Verbindung.
Ein neues kostenloses Update vom JTL-WaWi steht ab sofort in der Version 1.4.33.1 bereit. Es beinhaltet zahlreiche Fehlerbehebungen sowie Verbesserungen. Einen Changelog mit allen Fehlerbehebungen und Neuerungen findet man hier: https://www.jtl-software.de/JTL-Wawi-Changelog den Download hier: https://elink.ch/update
Ein neues Update ist für das Plugin günstigster Preis anzeigen von Ihrem WaWi Shop verfügbar. Dieses Plugin ermöglicht es optional beim Sprung auf die Artikel alle Varianten anzuzeigen. Zudem auch die Unterstützung für die Anzeige von Verpackungseinheiten (VPE) bei Variationskombinationsartikel.
Das Plugin finden Sie in unserem Webshop direkt unter dem Menü «Mein Konto» wenn Sie sich einloggen.
Weiteres zum Plugin und ein Changelog finden Sie direkt hier: https://elink.ch/a2dxzj
