Achtung - bitte beachten!
Sommerzeit = Ferienzeit Unser Support ist eingeschränkt erreichbar.
Fernwartung Ticket anlegen

JTL Shop Sicherheitslücke – Dringender Hinweis!

CiN GmbH www.com-ins-netz.de
Neuigkeiten

Kritische Sicherheitslücke in JTL-Shop: Jetzt prüfen, patchen und absichern

Intro

In JTL-Shop wurde eine kritische Sicherheitslücke bekannt, die von JTL gemeinsam mit dem Sansec Threat Research Team untersucht wurde. Betroffen sind JTL-Shop-5-Systeme, insbesondere Versionen bis einschließlich 5.7.1. Die Schwachstelle wird unter CVE-2026-54390 geführt und ermöglicht Angreifern unter bestimmten Voraussetzungen das Auslesen sensibler Serverdaten wie Datenbankzugangsdaten oder Verschlüsselungsschlüssel. Ab JTL-Shop 5.4.0 kann zusätzlich eine Remote Code Execution möglich sein.

JTL hat bereits Sicherheitsupdates bereitgestellt. Shopbetreiber sollten jetzt umgehend prüfen, ob ihr Shop abgesichert ist und ob es Hinweise auf eine bereits erfolgte Kompromittierung gibt.


Was ist passiert?

Die Schwachstelle befindet sich im Bereich der E-Mail-Verarbeitung von JTL-Shop. Konkret handelt es sich um eine sogenannte Server-Side Template Injection, kurz SSTI. Vereinfacht gesagt: Ein Angreifer kann über manipulierte Inhalte erreichen, dass serverseitige Template-Logik ungewollt ausgeführt wird.

Laut öffentlicher CVE-Beschreibung können dadurch sensible Informationen wie Datenbankzugangsdaten und Verschlüsselungsschlüssel ausgelesen werden. In JTL-Shop-Versionen ab 5.4.0 bis 5.7.1 kann die Schwachstelle außerdem dazu genutzt werden, eine Webshell im Webroot abzulegen und darüber Befehle als Webserver-Benutzer auszuführen.

Das bedeutet: Ein reines Update ist zwingend notwendig, reicht bei bereits betroffenen Shops aber nicht automatisch aus. Zusätzlich muss geprüft werden, ob bereits Schadcode abgelegt oder Daten ausgelesen wurden.


Welche Versionen sind abgesichert?

JTL hat für die betroffenen Shop-Zweige Sicherheitsupdates bereitgestellt. Nach aktuellem Stand sind insbesondere folgende Versionen relevant:

  • JTL-Shop 5.5.4

  • JTL-Shop 5.6.2

  • JTL-Shop 5.7.2

Die Releaseinformationen zu JTL-Shop 5.6.2 nennen ausdrücklich einen kritischen Security Fix für die SSTI-Sicherheitslücke im E-Mail-Betreff.

Shopbetreiber sollten daher zuerst im JTL-Shop-Backend unter /admin prüfen, welche Shop-Version aktuell eingesetzt wird. Wer noch eine ältere Version nutzt, sollte den passenden Patch oder ein Update aus dem offiziellen JTL-Releaseforum einspielen.


Wie kann ich prüfen, ob mein Shop betroffen ist?

Shopbetreiber sollten folgende Punkte prüfen oder prüfen lassen:

  1. Shop-Version kontrollieren
    Im JTL-Shop-Backend prüfen, ob bereits eine gepatchte Version installiert ist.

  2. Dateistruktur prüfen
    Im Backend unter Diagnose prüfen, ob unbekannte oder veränderte Dateien gemeldet werden.

  3. Webroot auf verdächtige Dateien prüfen
    Besonders kritisch sind unbekannte PHP-Dateien im Hauptverzeichnis des Shops. In den uns vorliegenden Informationen wurde unter anderem die Datei /site.php als beobachtete Backdoor-Datei genannt.

  4. Access-Logs prüfen
    Die Webserver-Logs sollten mindestens seit dem 17.06.2026 auf verdächtige Aufrufe geprüft werden, insbesondere auf Zugriffe auf unbekannte PHP-Dateien wie /site.php.

  5. Admin-Benutzer prüfen
    Im Shop-Backend sollte kontrolliert werden, ob unbekannte Admin-Konten angelegt oder bestehende Konten verändert wurden.

  6. Zugangsdaten prüfen und rotieren
    Bei Verdacht auf Kompromittierung sollten Datenbank-, FTP-/SFTP-, SSH-, SMTP-, Shop-Admin- und API-Zugangsdaten geändert werden.


Was tun bei einem Verdacht oder Befall?

Wenn verdächtige Dateien, auffällige Logeinträge oder unbekannte Admin-Zugänge gefunden werden, sollte der Shop wie ein Sicherheitsvorfall behandelt werden.

Empfohlene Sofortmaßnahmen:

  • Shop vorübergehend offline nehmen

  • vollständiges Backup von Dateien, Datenbank und Logs sichern

  • Sicherheitspatch einspielen

  • verdächtige Dateien nicht einfach nur löschen, sondern vorher für eine spätere Analyse sichern

  • Webspace vollständig auf Schadcode prüfen

  • alle Zugangsdaten ändern

  • Datenbank auf unbekannte Admin-Konten, veränderte Zahlungsdaten oder manipulierte Einstellungen prüfen

  • Datenschutzbeauftragten einbinden

  • mögliche Meldepflicht nach DSGVO prüfen

Bei bestätigtem Befall ist die sauberste Lösung häufig ein Neuaufbau des Systems: frische Shop-Dateien, saubere Serverumgebung, geprüfte Datenmigration und vollständige Rotation aller Zugangsdaten.


Muss der Vorfall gemeldet werden?

Wenn personenbezogene Daten betroffen sein können, muss geprüft werden, ob eine Meldung an die zuständige Datenschutzaufsichtsbehörde erforderlich ist. Nach Art. 33 DSGVO muss eine meldepflichtige Datenschutzverletzung grundsätzlich binnen 72 Stunden nach Bekanntwerden gemeldet werden.

Zusätzlich kann bei einem bestätigten Angriff eine Meldung bei der Polizei beziehungsweise der Zentralen Ansprechstelle Cybercrime des jeweiligen Bundeslandes sinnvoll sein. Unternehmen sollten hierbei frühzeitig ihre IT-Verantwortlichen, Datenschutzbeauftragten und gegebenenfalls rechtliche Beratung einbeziehen.


Unsere Empfehlung

Betreiber eines JTL-Shops sollten jetzt nicht abwarten. Prüfen Sie Ihre Shop-Version, spielen Sie den passenden Hotfix ein und kontrollieren Sie anschließend, ob Ihr System bereits betroffen war.

Die CIN GmbH unterstützt Sie bei:

  • Prüfung der eingesetzten JTL-Shop-Version

  • Einspielen des passenden Hotfixes

  • Analyse verdächtiger Dateien

  • Prüfung von Access-Logs

  • Bereinigung kompromittierter Shops

  • Rotation relevanter Zugangsdaten

  • technischer Dokumentation des Vorfalls

Wenn Sie unsicher sind, ob Ihr JTL-Shop bereits abgesichert ist oder ob Hinweise auf einen Angriff vorliegen, sprechen Sie uns an. Bei Sicherheitsvorfällen zählt vor allem eines: schnell, strukturiert und nachvollziehbar handeln.


Hinweis: Dieser Beitrag dient der technischen Erstinformation und ersetzt keine rechtliche Beratung. Datenschutzrechtliche Meldepflichten sollten durch den Datenschutzbeauftragten oder eine qualifizierte Rechtsberatung geprüft werden.

Haftungsausschluss:
Dieses Dokument wurde nach bestem Wissen auf Grundlage der zum Zeitpunkt der Erstellung vorliegenden Informationen erstellt. Die CIN GmbH übernimmt keine Haftung für die Vollständigkeit, Aktualität oder rechtliche Verbindlichkeit der Inhalte. Die Umsetzung der beschriebenen Maßnahmen erfolgt in eigener Verantwortung des Shopbetreibers. Eine rechtliche Prüfung, insbesondere zu Datenschutz- und Meldepflichten, sollte durch den Datenschutzbeauftragten oder eine entsprechend qualifizierte Rechtsberatung erfolgen.


News