{"id":327603,"date":"2026-07-10T15:15:02","date_gmt":"2026-07-10T13:15:02","guid":{"rendered":"https:\/\/www.jtl-software.com\/?page_id=327603"},"modified":"2026-07-10T18:10:27","modified_gmt":"2026-07-10T16:10:27","slug":"jtl-shop-sicherheits-patch-kostenloses-plugin","status":"publish","type":"page","link":"https:\/\/www.jtl-software.com\/de\/jtl-shop-sicherheits-patch-kostenloses-plugin","title":{"rendered":"JTL Shop Sicherheits Patch (kostenloses Plugin)"},"content":{"rendered":"\t\t<section>\n\t\t\t\t\t<div class=\"container\">\n\t\t\t\t\t\t\t\t<div class=\"row\">\n\t\t\t\t\t\t\t<div class=\"col-12 col-xl-9 mr-auto ml-auto\">\n\t<h1 class=\"text-center mt-5 line-color-shop\">JTL Shop Sicherheitshinweis: <br>SSTI\/RCE \u00fcber Smarty-Templating (CVE-2026-54390)<\/h1>\t<div class=\"text-center\">\n<p><strong>Status: Aktiv \u2013 wird fortlaufend aktualisiert.<\/strong><\/p>\n<p>Letzte Aktualisierung: 10.07.2026 \u2013 15:30<\/p>\n<p>Diese Seite b\u00fcndelt alle verl\u00e4sslichen Informationen zur Schwachstelle, zu Angriffsindikatoren (IOCs) und zu konkreten Handlungsempfehlungen. Wir aktualisieren sie, sobald neue Erkenntnisse vorliegen.<\/p>\n<p><strong>Teil 1<\/strong> richtet sich an alle Shop-Betreiber und ist ohne technisches Vorwissen verst\u00e4ndlich.<\/p>\n<p>\u00a0<\/p>\n<p><strong><a href=\"#teil-2-\u2013-technische-details-und-angriffsindikatoren\">Teil 2<\/a><\/strong> enth\u00e4lt technische Details und Angriffsindikatoren f\u00fcr dein Security-Team.<\/p>\n\t<\/div>\n\t<div class=\"text-center mt-5\">\n<div style=\"border: 2px solid #000000; padding: 30px; border-radius: 25px;\">\n<p style=\"text-align: center;\"><a href=\"https:\/\/servicepartner.jtl-software.com\/wp-content\/uploads\/2026\/07\/ecomsec_scanner_v1.0.2_noExS.zip\"><strong>Download Plugin<\/strong><\/a><\/p>\n<p style=\"text-align: center;\"><strong>Hinweis:<\/strong> ladet euch das Plugin direkt von unserem Server herunter. M\u00f6chtet ihr nach der manuellen Installation auf die Version des ExtensionStores zur\u00fcckgreifen, ist die manuelle Installation vorher zu entfernen.<\/p>\n<\/div>\n\t<\/div>\n<div style=\"height: 50px;\"><\/div>\n<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/section>\n\t\t\t<section class=\"mt-5\">\n\t\t\t\t\t<div class=\"container\">\n\t\t\t\t\t\t\t\t<div class=\"row\">\n\t\t\t\t\t\t\t<style>\n\t.utils-6a52c4eb7e4ba { background-color: #00000000 !important; }\n<\/style><div class=\"col-12 col-lg-6 utils-6a52c4eb7e4ba\">\n\t<h2 id=\"anchor-teil-1-\u2013-f\u00fcr-alle-shop-betreiber\" id=\"teil1\" class=\"text-left mt-2 line-color-shop\">Teil 1 \u2013 F\u00fcr alle Shop-Betreiber<a href=\"#teil-1-\u2013-f\u00fcr-alle-shop-betreiber\" class=\"far fa-link headline-link\" data-href=\"#teil-1-\u2013-f\u00fcr-alle-shop-betreiber\"><\/a><\/h2>\t<div class=\"text-left\">\n<p>Dieser Abschnitt ist ohne technisches Vorwissen verst\u00e4ndlich.<\/p>\n\t<\/div>\n\t<div class=\"row mt-3\">\n\t\t<div class=\"col\">\n\t<h3 id=\"anchor-nutzt-du-jtl-hosting-dann-ist-f\u00fcr-dich-bereits-alles-erledigt\">Nutzt du JTL-Hosting? Dann ist f\u00fcr dich bereits alles erledigt.<a href=\"#nutzt-du-jtl-hosting-dann-ist-f\u00fcr-dich-bereits-alles-erledigt\" class=\"far fa-link headline-link\" data-href=\"#nutzt-du-jtl-hosting-dann-ist-f\u00fcr-dich-bereits-alles-erledigt\"><\/a><\/h3>\t<div class=\"text-left\">\n<p>Wenn du das Hosting deines JTL Shops in unsere H\u00e4nde gegeben hast, haben wir die Schwachstelle bereits f\u00fcr dich geschlossen. Du siehst dazu lediglich eine Meldung \u00fcber eine modifizierte Datei und musst nichts weiter unternehmen. Solltest du dennoch etwas Auff\u00e4lliges bemerken, wende dich bitte an den Support.<\/p>\n\t<\/div>\n<\/div>\t<\/div>\n\t<div class=\"row mt-3\">\n\t\t<div class=\"col\">\n\t<div style=\"height: 50px;\"><\/div>\n<h3 id=\"anchor-was-ist-passiert\">Was ist passiert?<a href=\"#was-ist-passiert\" class=\"far fa-link headline-link\" data-href=\"#was-ist-passiert\"><\/a><\/h3>\t<div class=\"text-left\">\n<p>Gemeinsam mit dem Sansec Threat Research Team haben wir eine Sicherheitsl\u00fccke in JTL Shop identifiziert, die alle Versionen ab 5.0.0 betrifft. Wir haben sofort reagiert und f\u00fcr jede betroffene Version einen Patch bereitgestellt.<\/p>\n<p>Vereinfacht gesagt: \u00dcber den Betreff einer E-Mail l\u00e4sst sich Schadcode einschleusen. Angreifer k\u00f6nnen damit interne Schl\u00fcssel und Zugangsdaten auslesen und \u2013 bei neueren Shop-Versionen \u2013 Code auf dem Server ausf\u00fchren.<\/p>\n\t<\/div>\n<div class=\"mt-3 mr-auto mb-3 ml-auto border-danger w-100 card\">\n\t<div class=\"card-body\">\n\t\t<p><strong>Wichtig:<\/strong> Uns liegen inzwischen best\u00e4tigte F\u00e4lle vor, in denen die L\u00fccke tats\u00e4chlich ausgenutzt wurde. Bitte werde zeitnah aktiv \u2013 auch dann, wenn dein Shop nach au\u00dfen normal funktioniert.<\/p>\n\t<\/div>\n\t<\/div><\/div>\t<\/div>\n\t<div class=\"row mt-3\">\n\t\t<div class=\"col\">\n\t<div style=\"height: 50px;\"><\/div>\n<h3 id=\"anchor-bin-ich-betroffen\">Bin ich betroffen?<a href=\"#bin-ich-betroffen\" class=\"far fa-link headline-link\" data-href=\"#bin-ich-betroffen\"><\/a><\/h3>\t<div class=\"text-left\">\n<p>Betroffen sind alle JTL Shop 5-Versionen ab 5.0.0. Deine aktuelle Version findest du im Informations-Widget des Backends unter <code>\/admin<\/code>.<\/p>\n\t<\/div>\n<\/div>\t<\/div>\n\t<div class=\"row mt-3\">\n\t\t<div class=\"col\">\n\t<div style=\"height: 50px;\"><\/div>\n<h3 id=\"anchor-was-du-jetzt-tun-solltest\">Was du jetzt tun solltest<a href=\"#was-du-jetzt-tun-solltest\" class=\"far fa-link headline-link\" data-href=\"#was-du-jetzt-tun-solltest\"><\/a><\/h3>\t<div class=\"text-left\">\n<ol>\n<li><strong>Aktualisieren.<\/strong> Spiele die f\u00fcr dich passende gepatchte Version ein:\n<ul>\n<li>Shop <strong>5.5.4<\/strong>, <strong>5.6.2<\/strong> oder <strong>5.7.2<\/strong> (Downloads im <a href=\"https:\/\/forum.jtl-software.de\/forums\/releaseforum.36\/\"  target='_blank' rel='noopener noreferrer' rel=\"noopener\">JTL-Forum<\/a>).<\/li>\n<li>Bist du auf 5.5.3, 5.6.1 oder 5.7.1, aktualisierst du \u00fcber den jeweiligen Patch auf die n\u00e4chsth\u00f6here Version.<\/li>\n<li>Hilfe zum Vorgehen: Anleitung <a href=\"https:\/\/guide.jtl-software.com\/jtl-shop\/jtl-shop-kauf-editionen\/jtl-shop-updaten\/\"  target='_blank' rel='noopener noreferrer' rel=\"noopener\">\u201eJTL Shop updaten\u201c<\/a> und <a href=\"https:\/\/guide.jtl-software.com\/jtl-shop\/jtl-shop-kauf-editionen\/jtl-shop-build-pakete\/\"  target='_blank' rel='noopener noreferrer' rel=\"noopener\">\u201eJTL Shop Build-Pakete\u201c<\/a>.<\/li>\n<\/ul>\n<\/li>\n<li><strong>\u00c4ltere Version?<\/strong> Nutzt du eine \u00e4ltere Version (5.0.0\u20135.7.0) und kannst nicht aktualisieren, folge der Anleitung <a href=\"https:\/\/guide.jtl-software.com\/jtl-shop\/jtl-shop-kauf-editionen\/jtl-shop-updaten\/\"  target='_blank' rel='noopener noreferrer' rel=\"noopener\">\u201eJTL Shop updaten\u201c<\/a>.<\/li>\n<li><strong>Auf Kompromittierung pr\u00fcfen.<\/strong> Ein Update allein reicht nicht, wenn dein Shop bereits angegriffen wurde. Nutze den <a href=\"https:\/\/www.jtl-software.de\/extension-store\/ecomsec-security-scan-kompromittierungs-check-fuer-jtl-shop-5-jtl-shop-5\"  target='_blank' rel='noopener noreferrer' rel=\"noopener\">Kompromittierungs-Check<\/a> (Plugin im JTL-Extension-Store) oder gib die Pr\u00fcfschritte in <a href=\"#teil-2-\u2013-technische-details-und-angriffsindikatoren\">Teil 2<\/a> an deinen Administrator \/ Dienstleister weiter.<\/li>\n<li><strong>Im Zweifel Hilfe holen.<\/strong> Erstelle ein Support-Ticket im <a href=\"https:\/\/kundencenter.jtl-software.de\/\"  target='_blank' rel='noopener noreferrer' rel=\"noopener\">JTL-Kundencenter<\/a>.<\/li>\n<\/ol>\n\t<\/div>\n<div class=\"mt-3 mr-auto mb-3 ml-auto border-danger w-100 card\">\n\t<div class=\"card-body\">\n\t\t<p><strong>Warum ist die Pr\u00fcfung so wichtig?<\/strong> Wurde dein Shop vor dem Patch angegriffen, k\u00f6nnen die Angreifer sich einen dauerhaften Zugang eingerichtet haben, der auch nach dem Update bestehen bleibt. Deshalb: erst patchen, dann pr\u00fcfen.<\/p>\n\t<\/div>\n\t<\/div><\/div>\t<\/div>\n\t<div class=\"row mt-3\">\n\t\t<div class=\"col\">\n\t<div style=\"height: 50px;\"><\/div>\n<h3 id=\"anchor-nach-dem-update\">Nach dem Update<a href=\"#nach-dem-update\" class=\"far fa-link headline-link\" data-href=\"#nach-dem-update\"><\/a><\/h3>\t<div class=\"text-left\">\n<ul>\n<li><strong>Auf eine gepatchte Version aktualisiert?<\/strong> Dann ist \u2013 nach der Kompromittierungspr\u00fcfung \u2013 nichts Weiteres zu tun.<\/li>\n<li><strong>\u00c4ltere Version manuell gepatcht?<\/strong> Dann zeigt das Backend einen Hinweis auf eine modifizierte Datei. F\u00fcr diese eine Datei ist das normal und wird erst durch ein sp\u00e4teres Versions-Update behoben:<\/li>\n<\/ul>\n\t<\/div>\n<div class=\"mt-2 mr-auto mb-2 ml-auto w-100 card\">\n\t<div class=\"card-body\">\n\t\t<p><code>\/includes\/src\/Mail\/Renderer\/SmartyRenderer.php<\/code><\/p>\n\t<\/div>\n\t<\/div><\/div>\t<\/div>\n<\/div>\n<style>\n\t.utils-6a52c4eb7f30f { background-color: #00000000 !important; }\n<\/style><div class=\"col-12 col-lg-6 utils-6a52c4eb7f30f\">\n\t<h2 id=\"anchor-teil-2-\u2013-technische-details-und-angriffsindikatoren\" id=\"teil2\" class=\"text-left mt-2 line-color-shop\">Teil 2 \u2013 Technische Details und Angriffsindikatoren<a href=\"#teil-2-\u2013-technische-details-und-angriffsindikatoren\" class=\"far fa-link headline-link\" data-href=\"#teil-2-\u2013-technische-details-und-angriffsindikatoren\"><\/a><\/h2>\t<div class=\"text-left\">\n<p>F\u00fcr dein Security-Team, deinen Administrator oder Dienstleister.<\/p>\n\t<\/div>\n\t<div class=\"row mt-3\">\n\t\t<div class=\"col\">\n\t<div style=\"height: 50px;\"><\/div>\n<h3 id=\"anchor-kurz\u00fcberblick-tldr\">Kurz\u00fcberblick (TL;DR)<a href=\"#kurz\u00fcberblick-tldr\" class=\"far fa-link headline-link\" data-href=\"#kurz\u00fcberblick-tldr\"><\/a><\/h3>\t<div class=\"text-left\">\n<table style=\"width: 100%; border-collapse: collapse;\">\n<tbody>\n<tr>\n<td style=\"border: 1px solid #ddd; padding: 8px; width: 40%;\"><strong>Art der Schwachstelle<\/strong><\/td>\n<td style=\"border: 1px solid #ddd; padding: 8px;\">Server-Side Template Injection (SSTI) im E-Mail-Betreff \u00fcber die Smarty-Template-Engine<\/td>\n<\/tr>\n<tr>\n<td style=\"border: 1px solid #ddd; padding: 8px;\"><strong>CVE<\/strong><\/td>\n<td style=\"border: 1px solid #ddd; padding: 8px;\">CVE-2026-54390<\/td>\n<\/tr>\n<tr>\n<td style=\"border: 1px solid #ddd; padding: 8px;\"><strong>JTL-Vorgang<\/strong><\/td>\n<td style=\"border: 1px solid #ddd; padding: 8px;\">SHOP-9666<\/td>\n<\/tr>\n<tr>\n<td style=\"border: 1px solid #ddd; padding: 8px;\"><strong>Betroffen<\/strong><\/td>\n<td style=\"border: 1px solid #ddd; padding: 8px;\">Alle JTL Shop 5-Versionen ab 5.0.0<\/td>\n<\/tr>\n<tr>\n<td style=\"border: 1px solid #ddd; padding: 8px;\"><strong>Auswirkung<\/strong><\/td>\n<td style=\"border: 1px solid #ddd; padding: 8px;\">Auslesen von Blowfish-Key und Datenbank-Passwort; ab Shop 5.4.0 zus\u00e4tzlich Remote Code Execution (RCE)<\/td>\n<\/tr>\n<tr>\n<td style=\"border: 1px solid #ddd; padding: 8px;\"><strong>Entdeckung<\/strong><\/td>\n<td style=\"border: 1px solid #ddd; padding: 8px;\">Gemeinsam mit dem Sansec Threat Research Team<\/td>\n<\/tr>\n<tr>\n<td style=\"border: 1px solid #ddd; padding: 8px;\"><strong>Ausnutzung<\/strong><\/td>\n<td style=\"border: 1px solid #ddd; padding: 8px;\">Aktive Ausnutzung in der Praxis best\u00e4tigt (Stand 09.07.2026)<\/td>\n<\/tr>\n<tr>\n<td style=\"border: 1px solid #ddd; padding: 8px;\"><strong>Gepatchte Datei<\/strong><\/td>\n<td style=\"border: 1px solid #ddd; padding: 8px;\"><code>\/includes\/src\/Mail\/Renderer\/SmartyRenderer.php<\/code><\/td>\n<\/tr>\n<tr>\n<td style=\"border: 1px solid #ddd; padding: 8px;\"><strong>Werkzeuge<\/strong><\/td>\n<td style=\"border: 1px solid #ddd; padding: 8px;\">YARA-Regeln (CVE-2026-54390) und Kompromittierungs-Check-Plugin verf\u00fcgbar<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\t<\/div>\n<\/div>\t<\/div>\n\t<div class=\"row mt-3\">\n\t\t<div class=\"col\">\n\t<div style=\"height: 50px;\"><\/div>\n<h3 id=\"anchor-die-schwachstelle-im-detail\">Die Schwachstelle im Detail<a href=\"#die-schwachstelle-im-detail\" class=\"far fa-link headline-link\" data-href=\"#die-schwachstelle-im-detail\"><\/a><\/h3>\t<div class=\"text-left\">\n<p>Die Schwachstelle ist eine Server-Side Template Injection (SSTI) im Betreff einer E-Mail: \u00dcber die Smarty-Template-Engine l\u00e4sst sich Template-Code einschleusen, der serverseitig ausgewertet wird. Dar\u00fcber k\u00f6nnen Angreifer den Blowfish-Key oder das Datenbank-Passwort auslesen. Ab Shop 5.4.0 ist zus\u00e4tzlich eine Remote Code Execution (RCE) m\u00f6glich.<\/p>\n<p>Die Beschaffenheit der L\u00fccke l\u00e4sst keine zuverl\u00e4ssige Aussage dar\u00fcber zu, ob ein einzelner Shop bereits vor der Entdeckung ausgenutzt wurde. In der Fl\u00e4che ist die Ausnutzung inzwischen jedoch best\u00e4tigt.<\/p>\n\t<\/div>\n<\/div>\t<\/div>\n\t<div class=\"row mt-3\">\n\t\t<div class=\"col\">\n\t<div style=\"height: 50px;\"><\/div>\n<h3 id=\"anchor-wie-der-angriff-abl\u00e4uft\">Wie der Angriff abl\u00e4uft<a href=\"#wie-der-angriff-abl\u00e4uft\" class=\"far fa-link headline-link\" data-href=\"#wie-der-angriff-abl\u00e4uft\"><\/a><\/h3>\t<div class=\"text-left\">\n<p>Der Patch schlie\u00dft den Einstiegspunkt (die SSTI-L\u00fccke). Wurde ein Shop schon vorher ausgenutzt, k\u00f6nnen die sp\u00e4teren Stufen auch nach dem Patchen aktiv bleiben \u2013 deshalb ist die Kompromittierungspr\u00fcfung entscheidend. <strong>Hinweis:<\/strong> Die genannten Dateinamen sind Beispiele aus analysierten F\u00e4llen und k\u00f6nnen abweichen.<\/p>\n<ol>\n<li><strong>SSTI-Ausnutzung.<\/strong> \u00dcber einen manipulierten E-Mail-Betreff wird Smarty-Template-Code eingeschleust und serverseitig ausgef\u00fchrt.<\/li>\n<li><strong>Auslesen von Geheimnissen.<\/strong> Blowfish-Key und Datenbank-Zugangsdaten werden extrahiert. Bis 5.4.0 endet die Ausnutzung hier; ab 5.4.0 wird daraus vollst\u00e4ndige Codeausf\u00fchrung (RCE), erst dadurch werden die folgenden Stufen m\u00f6glich.<\/li>\n<li><strong>Schaddateien (ab 5.4.0).<\/strong> Im Webroot werden eine interaktive Webshell (<code>site.php<\/code>) und ein Recon-\/Exfiltrations-Skript (<code>s.php<\/code>) abgelegt, das Zugangsdaten und weitere Geheimnisse ausliest und nach au\u00dfen \u00fcbertr\u00e4gt.<\/li>\n<li><strong>Persistenz.<\/strong> Die Webshell <code>site.php<\/code> \u00fcberlebt das Update \u2013 dieses ersetzt nur die verwundbare Renderer-Datei, nicht die separat abgelegte Backdoor. Das reine Update entfernt die Persistenz also nicht; die Backdoor muss gezielt entfernt werden.<\/li>\n<li><strong>Umleitung von Zahlungen.<\/strong> In einigen best\u00e4tigten F\u00e4llen wurde \u00fcber die Datenbank eine getarnte Content-Box mit JavaScript angelegt, das im Checkout einen gef\u00e4lschten Zahlungsdialog (iFrame) einblendet und den Zahlungsvorgang umleitet \u2013 in den bisher analysierten F\u00e4llen bei Vorkasse bzw. \u00dcberweisung. Der Kunde \u00fcberweist dabei an ein Angreiferkonto statt an den H\u00e4ndler. Da der Code in der Datenbank sitzt, bleibt er auch nach dem Entfernen der Schaddateien aktiv und muss separat entfernt werden (siehe \u201eStandardelemente \u2192 Footer\/Boxen\u201c).<\/li>\n<\/ol>\n\t<\/div>\n<\/div>\t<\/div>\n\t<div class=\"row mt-3\">\n\t\t<div class=\"col\">\n\t<div style=\"height: 50px;\"><\/div>\n<h3 id=\"anchor-indicators-of-compromise-iocs\">Indicators of Compromise (IOCs)<a href=\"#indicators-of-compromise-iocs\" class=\"far fa-link headline-link\" data-href=\"#indicators-of-compromise-iocs\"><\/a><\/h3>\t<div class=\"text-left\">\n<p>Diese Liste wird laufend erg\u00e4nzt. Das Fehlen einzelner Indikatoren schlie\u00dft eine Kompromittierung nicht aus.<\/p>\n<p><strong>Dateibasierte Indikatoren<\/strong><\/p>\n<ul>\n<li>Verd\u00e4chtige oder unbekannte Dateien im Webroot-Verzeichnis, insbesondere:\n<ul>\n<li><code>site.php<\/code> \u2013 abgelegte Webshell<\/li>\n<li><code>s.php<\/code> \u2013 Persistenz-Komponente, h\u00e4lt den Zugang nach dem Patch offen<\/li>\n<\/ul>\n<\/li>\n<li>Andere nach dem 17.06.2026 neu angelegte oder ver\u00e4nderte PHP-Dateien im Web-Root<\/li>\n<li>Backend-Hinweis auf die modifizierte Datei <code>\/includes\/src\/Mail\/Renderer\/SmartyRenderer.php<\/code> \u2013 nach manuellem Patchen normal, <strong>kein<\/strong> Angriffsindikator.<\/li>\n<\/ul>\n<p><strong>Indikatoren im Bestellprozess<\/strong><\/p>\n<ul>\n<li>Unerwarteter JavaScript-Code im Checkout, insbesondere ein eingeblendeter Zahlungsdialog, der nicht zu deinen konfigurierten Zahlarten geh\u00f6rt (in den bisher analysierten F\u00e4llen bei Vorkasse\/\u00dcberweisung)<\/li>\n<li>Ein gef\u00e4lschter Rabatt-Hinweis an einer Zahlart (in analysierten F\u00e4llen \u201e7% Rabatt bei dieser Zahlungsmethode\u201c), w\u00e4hrend echte Rabatt-Hinweise des Shops verschwinden<\/li>\n<li>Ausgeblendete PayPal-Express-Buttons oder unterdr\u00fcckte native Rabatt-Kennzeichnungen im Checkout<\/li>\n<li>Eingeschleuste iFrames oder Umleitungen im Zahlungsprozess<\/li>\n<\/ul>\n<p><strong>Indikatoren in der Datenbank (JavaScript-Injektion \/ Skimming)<\/strong><\/p>\n<ul>\n<li>Getarnte Content-Boxen mit eingeschleustem JavaScript \u2013 im Backend pr\u00fcfbar unter \u201eStandardelemente \u2192 Footer\/Boxen\u201c: Elemente, die ein <code>script<\/code>-Tag oder <code>script src=\u2026<\/code> enthalten und nicht selbst eingebunden wurden<\/li>\n<li>Eintr\u00e4ge in der Tabelle <code>tboxsprache<\/code>, deren Feld <code>cInhalt<\/code> ein <code>script<\/code>-Tag enth\u00e4lt<\/li>\n<li>Eintr\u00e4ge in der Tabelle <code>tboxen<\/code> mit auff\u00e4lligem Titel, insbesondere mit dem Pr\u00e4fix <code>sys_box_<\/code> (Suffix variiert je Angriff)<\/li>\n<li>Zugeh\u00f6rige Sichtbarkeits-Eintr\u00e4ge in der Tabelle <code>tboxensichtbar<\/code> (koppeln die Box an eine Seitenposition, meist \u201ebottom\u201c)<\/li>\n<li>Verweise auf eine externe, nicht selbst eingebundene Skript-Domain \u00fcber <code>script src=\u2026<\/code> im Box-Inhalt (in einem analysierten Fall <code>oob.tecnomar63.us<\/code> \u2013 Domain kann wechseln!)<\/li>\n<\/ul>\n<p><strong>Netzwerk- und Systemindikatoren<\/strong><\/p>\n<ul>\n<li>Verd\u00e4chtige Eintr\u00e4ge in den Access-Logs seit dem 17.06.2026, insbesondere geh\u00e4ufte Zugriffe auf <code>\/site.php<\/code> (Status 200, schwankende Antwortgr\u00f6\u00dfen; sofern geloggt, <code>GET \/site.php?pr=002<\/code>)<\/li>\n<li>Ausgehende Verbindungen des Webserver-Users (m\u00f6glicher Reverse-Shell-Hinweis)<\/li>\n<li>Eintr\u00e4ge in der Crontab des Webserver-Users (<code>www-data<\/code>) als Persistenzmechanismus<\/li>\n<li>Vorkommen verd\u00e4chtiger PHP-Funktionen: <code>passthru<\/code>, <code>shell_exec<\/code>, <code>system<\/code>, <code>popen<\/code>, <code>proc_open<\/code>, <code>exec<\/code> (auch Base64-kodiert)<\/li>\n<\/ul>\n\t<\/div>\n<\/div>\t<\/div>\n\t<div class=\"row mt-3\">\n\t\t<div class=\"col\">\n\t<div style=\"height: 50px;\"><\/div>\n<h3 id=\"anchor-erkennungsregeln-yara\">Erkennungsregeln (YARA)<a href=\"#erkennungsregeln-yara\" class=\"far fa-link headline-link\" data-href=\"#erkennungsregeln-yara\"><\/a><\/h3>\t<div class=\"text-left\">\n<p>YARA-Regelsatz zu CVE-2026-54390 zur Erkennung der beiden bislang bekannten Malware-Dateien (Webshell und Recon-\/Exfiltrations-Skript): <a href=\"https:\/\/servicepartner.jtl-software.com\/wp-content\/uploads\/2026\/07\/jtl-shop-CVE-2026-54390.yar_.zip\"  target='_blank' rel='noopener noreferrer' rel=\"noopener\">jtl-shop-CVE-2026-54390.yar_.zip<\/a>. Bewusst als Download verlinkt statt als Anhang \u2013 die Regel enth\u00e4lt Strings wie <code>shell_exec<\/code>, die von Mail-\/Malware-Scannern geblockt werden.<\/p>\n\t<\/div>\n<\/div>\t<\/div>\n\t<div class=\"row mt-3\">\n\t\t<div class=\"col\">\n\t<div style=\"height: 50px;\"><\/div>\n<h3 id=\"anchor-so-pr\u00fcfst-du-deinen-shop\">So pr\u00fcfst du deinen Shop<a href=\"#so-pr\u00fcfst-du-deinen-shop\" class=\"far fa-link headline-link\" data-href=\"#so-pr\u00fcfst-du-deinen-shop\"><\/a><\/h3>\t<div class=\"text-left\">\n<ol>\n<li><strong>Access-Logs pr\u00fcfen.<\/strong> Durchsuche die Access-Logs seit dem 17.06.2026 nach verd\u00e4chtigen Aktivit\u00e4ten.<\/li>\n<li><strong>Dateien pr\u00fcfen.<\/strong> Kontrolliere ver\u00e4nderte oder unbekannte Dateien \u2013 insbesondere im Webroot-Verzeichnis.<\/li>\n<li><strong>Boxen pr\u00fcfen.<\/strong> Im Backend unter \u201eStandardelemente \u2192 Footer\/Boxen\u201c nach Elementen mit JavaScript suchen.<\/li>\n<li><strong>Admin-Zug\u00e4nge sichern.<\/strong> Kontrolliere alle Admin-Accounts und \u00e4ndere sicherheitshalber die Passw\u00f6rter.<\/li>\n<\/ol>\n<p><strong>Zus\u00e4tzliche Pr\u00fcfungen nach Shop-Version<\/strong><\/p>\n<p><strong>Ab Shop v5.4<\/strong> \u2013 neue\/ver\u00e4nderte PHP-Dateien seit dem Angriffszeitraum (Pfad zum Web Root anpassen):<\/p>\n\t<\/div>\n<div class=\"mt-2 mr-auto mb-2 ml-auto w-100 card\">\n\t<div class=\"card-body\">\n\t\t<pre><code>find \/var\/www\/shop5 -name \"*.php\" -newermt \"2026-06-17\" -ls<\/code><\/pre>\n\t<\/div>\n\t<\/div>\t<div class=\"text-left\">\n<p><strong>Vor Shop v5.4:<\/strong> Die L\u00fccke erm\u00f6glicht das Auslesen der Datenbank-Zugangsdaten. Das bedeutet nicht automatisch einen Datenbankzugriff \u2013 bei einer MySQL\/MariaDB-Standardinstallation ist die Datenbank nicht von extern erreichbar. Pr\u00fcfe dennoch: Ist deine Datenbank von extern erreichbar? Falls ja, sofort absichern und alle Credentials als kompromittiert behandeln.<\/p>\n<p><strong>F\u00fcr technisch versierte Nutzer (ab v5.4):<\/strong><\/p>\n\t<\/div>\n<div class=\"mt-2 mr-auto mb-2 ml-auto w-100 card\">\n\t<div class=\"card-body\">\n\t\t<pre><code># Crontab des Webserver-Users (oft f\u00fcr Persistenz genutzt)\r\ncrontab -l -u www-data\r\n\r\n# Ausgehende Verbindungen (kann Hinweis auf Reverse Shell sein)\r\nss -tp | grep \"www-data\\|apache\"<\/code><\/pre>\n\t<\/div>\n\t<\/div>\t<div class=\"text-left\">\n<p>Suche zus\u00e4tzlich in Dateien nach verd\u00e4chtigen PHP-Funktionen: <code>passthru<\/code>, <code>shell_exec<\/code>, <code>system<\/code>, <code>popen<\/code>, <code>proc_open<\/code>, <code>exec<\/code> (auch Base64-kodiert). <strong>Hinweis:<\/strong> kann False Positives erzeugen.<\/p>\n<p>Pr\u00fcfung der Datenbank auf Inhalte mit JavaScript (kann False Positives erzeugen, Ergebnisse m\u00fcssen sorgf\u00e4ltig validiert werden):<\/p>\n\t<\/div>\n<div class=\"mt-2 mr-auto mb-2 ml-auto w-100 card\">\n\t<div class=\"card-body\">\n\t\t<pre><code>-- CHAR(60) steht f\u00fcr die \u00f6ffnende spitze Klammer, damit diese Seite den Code korrekt anzeigen kann\r\nSELECT b.kBox, b.cTitel, s.cISO, s.cInhalt\r\nFROM tboxen b\r\nJOIN tboxsprache s ON s.kBox = b.kBox\r\nWHERE s.cInhalt LIKE CONCAT('%', CHAR(60), 'script%')\r\n   OR b.cTitel LIKE 'sys_box_%';<\/code><\/pre>\n\t<\/div>\n\t<\/div><div class=\"mt-3 mr-auto mb-3 ml-auto border-success w-100 card\">\n\t<div class=\"card-body\">\n\t\t<p><strong>Automatisierter Check.<\/strong> Zur schnellen Pr\u00fcfung steht ein Kompromittierungs-Check als Plugin bereit: <a href=\"https:\/\/www.jtl-software.de\/extension-store\/ecomsec-security-scan-kompromittierungs-check-fuer-jtl-shop-5-jtl-shop-5\"  target='_blank' rel='noopener noreferrer' rel=\"noopener\">ecomsec Security Scan \u2013 Kmpromittierungs-Check f\u00fcr JTL Shop 5<\/a>. Es erkennt die bislang bekannten Malware-Dateien und pr\u00fcft, ob die SmartyRenderer.php gepatcht ist.<\/p>\n\t<\/div>\n\t<\/div><\/div>\t<\/div>\n\t<div class=\"row mt-3\">\n\t\t<div class=\"col\">\n\t<div style=\"height: 50px;\"><\/div>\n<h3 id=\"anchor-bei-verdacht-auf-kompromittierung\">Bei Verdacht auf Kompromittierung<a href=\"#bei-verdacht-auf-kompromittierung\" class=\"far fa-link headline-link\" data-href=\"#bei-verdacht-auf-kompromittierung\"><\/a><\/h3>\t<div class=\"text-left\">\n<p><strong>Sofort<\/strong><\/p>\n<ul>\n<li>Shop offline nehmen (Wartungsmodus)<\/li>\n<li>Sicherheitspatch einspielen<\/li>\n<li>Alle Zugangsdaten rotieren: Shop-Admin, Datenbank, FTP, Zahlungsdienste, API-Keys<\/li>\n<li>Webshells und Backdoors entfernen (<code>s.php<\/code>, <code>site.php<\/code> u. a.) \u2013 verd\u00e4chtige Dateien vorher f\u00fcr die Forensik sichern<\/li>\n<li>Falls m\u00f6glich: Datenbank-Backup von vor dem 17.06.2026 einspielen<\/li>\n<\/ul>\n<p><strong>Mittelfristig<\/strong><\/p>\n<ul>\n<li>Integrity-Audit des Web-Roots durchf\u00fchren<\/li>\n<li>Datenbank auf Manipulation pr\u00fcfen (unbekannte Admin-Accounts, ver\u00e4nderte Zahlungsdaten)<\/li>\n<li>Falls Kundendaten abgeflossen sind: Datenschutzpflichten nach DSGVO pr\u00fcfen<\/li>\n<\/ul>\n<p><strong>Bei schwerem Verdacht:<\/strong><\/p>\n\t<\/div>\n<div class=\"mt-3 mr-auto mb-3 ml-auto border-danger w-100 card\">\n\t<div class=\"card-body\">\n\t\t<p><strong>Beste L\u00f6sung bei best\u00e4tigter Kompromittierung:<\/strong> Shop inklusive Betriebssystem neu aufsetzen, Daten migrieren und auf Manipulation pr\u00fcfen, alle Passw\u00f6rter neu setzen.<\/p>\n\t<\/div>\n\t<\/div><\/div>\t<\/div>\n\t<div class=\"row mt-3\">\n\t\t<div class=\"col\">\n\t<div style=\"height: 50px;\"><\/div>\n<h3 id=\"anchor-zeitleiste\">Zeitleiste<a href=\"#zeitleiste\" class=\"far fa-link headline-link\" data-href=\"#zeitleiste\"><\/a><\/h3>\t<div class=\"text-left\">\n<table style=\"width: 100%; border-collapse: collapse;\">\n<thead>\n<tr>\n<th style=\"border: 1px solid #ddd; padding: 8px; text-align: left; width: 30%;\">Datum<\/th>\n<th style=\"border: 1px solid #ddd; padding: 8px; text-align: left;\">Ereignis<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td style=\"border: 1px solid #ddd; padding: 8px;\">~17.06.2026<\/td>\n<td style=\"border: 1px solid #ddd; padding: 8px;\">Ver\u00f6ffentlichung der Patches und der manuellen Patch-Anleitung; Beginn des relevanten Angriffszeitraums<\/td>\n<\/tr>\n<tr>\n<td style=\"border: 1px solid #ddd; padding: 8px;\">03.07.2026<\/td>\n<td style=\"border: 1px solid #ddd; padding: 8px;\">CVE-2026-54390 vergeben; YARA-Regeln ver\u00f6ffentlicht<\/td>\n<\/tr>\n<tr>\n<td style=\"border: 1px solid #ddd; padding: 8px;\">07.07.2026<\/td>\n<td style=\"border: 1px solid #ddd; padding: 8px;\">Kompromittierungs-Check erkennt beide Malware-Dateien und pr\u00fcft den Patch-Stand<\/td>\n<\/tr>\n<tr>\n<td style=\"border: 1px solid #ddd; padding: 8px;\">09.07.2026<\/td>\n<td style=\"border: 1px solid #ddd; padding: 8px;\">Aktive Ausnutzung in der Praxis best\u00e4tigt (Skimming\/JS-Injection im Checkout)<\/td>\n<\/tr>\n<tr>\n<td style=\"border: 1px solid #ddd; padding: 8px;\">10.07.2026<\/td>\n<td style=\"border: 1px solid #ddd; padding: 8px;\">Einrichtung dieser fortlaufend aktualisierten Vulnerability-Page; erweiterte Partner- und Kundenkommunikation<\/td>\n<\/tr>\n<tr>\n<td style=\"border: 1px solid #ddd; padding: 8px;\">laufend<\/td>\n<td style=\"border: 1px solid #ddd; padding: 8px;\">Untersuchung l\u00e4uft; weitere Erkenntnisse und IOCs werden erg\u00e4nzt<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\t<\/div>\n<\/div>\t<\/div>\n\t<div class=\"row mt-3\">\n\t\t<div class=\"col\">\n\t<div style=\"height: 50px;\"><\/div>\n<h3 id=\"anchor-fragen\">Fragen?<a href=\"#fragen\" class=\"far fa-link headline-link\" data-href=\"#fragen\"><\/a><\/h3>\t<div class=\"text-left\">\n<p>Unser Support-Team hilft gern. Bitte erstelle wie gewohnt ein Support-Ticket im <a href=\"https:\/\/kundencenter.jtl-software.de\/\"  target='_blank' rel='noopener noreferrer' rel=\"noopener\">JTL-Kundencenter<\/a>.<\/p>\n\t<\/div>\n<\/div>\t<\/div>\n\t<div class=\"row mt-3\">\n\t\t<div class=\"col\">\n\t<div style=\"height: 50px;\"><\/div>\n<h3 id=\"anchor-changelog-dieser-seite\">Changelog dieser Seite<a href=\"#changelog-dieser-seite\" class=\"far fa-link headline-link\" data-href=\"#changelog-dieser-seite\"><\/a><\/h3>\t<div class=\"text-left\">\n<p><strong>10.07.2026<\/strong> \u2013 Erstver\u00f6ffentlichung: Schwachstellenbeschreibung, IOCs (site.php, s.php, Checkout-Skimming), Pr\u00fcf- und Remediationsschritte, YARA- und Plugin-Hinweis.<\/p>\n\t<\/div>\n<\/div>\t<\/div>\n<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/section>\n\t\t\t<section>\n\t\t\t\t\t<div class=\"container\">\n\t\t\t\t\t\t\t\t<div class=\"row\">\n\t\t\t\t\t\t\t<div class=\"col\">\n\t[vc_raw_html css=\u201c\u201c][\/vc_raw_html]<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/section>\n\t","protected":false},"excerpt":{"rendered":"JTL Shop Sicherheitshinweis: SSTI\/RCE \u00fcber Smarty-Templating (CVE-2026-54390) Status: Aktiv \u2013 wird fortlaufend aktualisiert. Letzte Aktualisierung: 10.07.2026 \u2013 15:30 Diese Seite b\u00fcndelt alle verl\u00e4sslichen Informationen zur Schwachstelle, zu Angriffsindikatoren (IOCs) und zu konkreten Handlungsempfehlungen. Wir aktualisieren sie, sobald neue Erkenntnisse vorliegen. Teil 1 richtet sich an alle Shop-Betreiber und ist ohne technisches Vorwissen verst\u00e4ndlich. &nbsp; Teil","protected":false},"author":121,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"page-templates\/product-landing.php","meta":{"_acf_changed":false,"footnotes":""},"class_list":["post-327603","page","type-page","status-publish","hentry"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.jtl-software.com\/de\/wp-json\/wp\/v2\/pages\/327603","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.jtl-software.com\/de\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/www.jtl-software.com\/de\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/www.jtl-software.com\/de\/wp-json\/wp\/v2\/users\/121"}],"replies":[{"embeddable":true,"href":"https:\/\/www.jtl-software.com\/de\/wp-json\/wp\/v2\/comments?post=327603"}],"version-history":[{"count":28,"href":"https:\/\/www.jtl-software.com\/de\/wp-json\/wp\/v2\/pages\/327603\/revisions"}],"predecessor-version":[{"id":327633,"href":"https:\/\/www.jtl-software.com\/de\/wp-json\/wp\/v2\/pages\/327603\/revisions\/327633"}],"wp:attachment":[{"href":"https:\/\/www.jtl-software.com\/de\/wp-json\/wp\/v2\/media?parent=327603"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}