Die JTL Shop Sicherheitslücke betrifft jeden selbst gehosteten Shop ab Version 5.0.0, und ab Version 5.4.0 lässt sich darüber beliebiger Code auf dem Server ausführen. Entdeckt hat die Schwachstelle das auf E-Commerce spezialisierte Sansec Threat Research Team. Der Fehler steckt im E-Mail-Template-System des Shops, ein präparierter Betreff reicht als Einfallstor. JTL stellt Patches für alle aktiven Versionen bereit – für 5.7.1-Nutzer heißt das: Update auf 5.7.2. Wie die JTL-Agentur Vlarom berichtet , sind bislang keine aktiven Angriffe bekannt, das Zeitfenster schließt sich aber mit jedem Tag.
Inhaltsverzeichnis
Fasse den Artikel im Bullet-Stil zusammen.
Ein E-Mail-Betreff genügt für die JTL Shop Sicherheitslücke
Bei der Schwachstelle handelt es sich um eine Server-Side Template Injection (SSTI), also das Einschleusen von Schadcode in ein Template-System. JTL Shop nutzt die Smarty Template Engine, um E-Mail-Vorlagen zu rendern. Schleust ein Angreifer über einen manipulierten E-Mail-Betreff Smarty-Befehle ein, verarbeitet der Server diese als Code statt als Text.
Der Fehler liegt in der Datei /includes/src/Mail/Renderer/SmartyRenderer.php. Auslösen lässt sich der Angriff über jeden Vorgang, der eine Shop-E-Mail verschickt – ein Kontaktformular, eine Bestellung oder einen anderen Trigger. Ein sofortiger Direktangriff ist das nicht, ein rein theoretisches Szenario aber auch nicht.
Blowfish-Key und Datenbankpasswort liegen offen
Über die Lücke lassen sich der Blowfish-Key und das Datenbankpasswort des Shops auslesen. Der Blowfish-Key ist der Schlüssel, mit dem JTL Shop sensible Daten in der Datenbank verschlüsselt. Wer ihn besitzt, kann verschlüsselte Datenbankinhalte entschlüsseln.
Betroffen sind je nach Konfiguration Passwort-Hashes und andere gespeicherte Daten. Ein sofortiger Vollzugriff auf alle Kundendaten ist das nicht, ein erhebliches Datenschutzrisiko schon. Für Shops auf den Versionen 5.0.0 bis 5.3.x bleibt das Risiko auf dieses Datenleck begrenzt.
Ab Version 5.4.0 wird aus dem Leck eine Übernahme
Ab Shop-Version 5.4.0 kommt Remote Code Execution (RCE) hinzu – das Ausführen beliebigen Codes auf dem Server. Ein Angreifer kann die Kontrolle über das System übernehmen. Das hebt den Schweregrad deutlich an.
Die Trennlinie verläuft bei 5.4.0: darunter Datenleck, darüber potenzielle Serverübernahme. Wer eine aktuelle Version betreibt, fällt in die zweite, gefährlichere Gruppe.
JTL-Hosting-Kunden müssen nichts tun
Shops im JTL Hosting wurden von JTL automatisch abgesichert, ohne Zutun des Händlers. Diese Shops zeigen im Backend einen Hinweis auf eine modifizierte Datei. Der Hinweis ist gewollt und kein Fehler.
Selbst gehostete Shops müssen dagegen selbst aktiv werden. Wer nicht weiß, wo sein Shop läuft, prüft das beim Hosting-Anbieter oder Dienstleister.
In fünf Schritten zum gepatchten Shop
Zuerst die aktuelle Version prüfen: im Backend unter /admin im Dashboard-Widget „Informationen“ oder unter Administration > System. Den passenden Patch gibt es im offiziellen JTL Releaseforum
: 5.7.1 auf 5.7.2, 5.6.1 auf 5.6.2, 5.5.3 auf 5.5.4. Ältere Versionen von 5.0.0 bis 5.7.0 bekommen einen separaten manuellen Patch. Nur offizielle JTL-Quellen verwenden, keine Drittanbieter-Downloads.
Vor dem Update ein vollständiges Backup von Datenbank und Shop-Dateien anlegen. Den Patch über den regulären Update-Assistenten unter Administration > System > Aktualisieren einspielen. Danach testen: eine Bestellung durchlaufen, E-Mail-Versand und Connector prüfen, unter Administration > System > Diagnose die Dateikonsistenz kontrollieren. Beim manuellen Patch erscheint ein Hinweis auf die modifizierte SmartyRenderer.php – das ist normal.
Kein Zero-Day – trotzdem zählt jede Woche
Laut JTL Partner-Newsletter vom 17. Juni 2026 liegen keine konkreten Hinweise auf eine aktive Ausnutzung vor. Das unterscheidet den Fall von einem Zero-Day, bei dem eine Lücke schon ausgenutzt wird, bevor ein Patch existiert. Die Art der Schwachstelle erlaubt allerdings keine sichere Aussage darüber, ob sie vor der Entdeckung genutzt wurde.
Veröffentlichte Lücken mit bekanntem Angriffsvektor greifen automatisierte Scanning-Tools innerhalb von Stunden bis Tagen auf. Der Patch sollte deshalb in dieser Woche eingespielt sein. Dass JTL die Lücke gemeinsam mit Sansec im Rahmen einer koordinierten Veröffentlichung (Coordinated Disclosure) bekannt gemacht hat, spricht dafür, dass das Thema ernst genommen wird.
