Kritische Sicherheitslücke in JTL-Shop 5: SSTI im Mail-Versand – jetzt patchen

JTL hat gemeinsam mit dem Sansec Threat Research Team eine kritische Sicherheitslücke in JTL-Shop 5 bekanntgegeben. Betroffen sind nach Herstellerangabe alle Shop-Versionen ab 5.0.0. Patches stehen für jede aktive Version bereit – und du solltest nicht lange warten.

Wir fassen zusammen, was dahintersteckt, wie du prüfst, ob dein Shop betroffen ist, und wie das Update sauber über die Bühne geht.

Worum geht es?

Die Schwachstelle steckt im Template-System für ausgehende E-Mails, konkret in der Datei /includes/src/Mail/Renderer/SmartyRenderer.php. Vereinfacht gesagt: Über einen präparierten E-Mail-Betreff lässt sich Code in die Template-Verarbeitung einschleusen.

Der Angriffsvektor ist dabei nicht der Login oder der Checkout, sondern jeder Auslöser, der eine Shop-E-Mail mit beeinflussbarem Betreff erzeugt – etwa ein Kontaktformular oder eine Bestellung. Das ist kein theoretisches Szenario, aber auch kein Knopfdruck-Angriff: Der Angreifer muss eine entsprechende Mail überhaupt erst auslösen können.

Was im Ernstfall ausgelesen werden kann, ist allerdings heikel: der Blowfish-Key, Zugangsdaten zur Datenbank und je nach Konfiguration weitere im Shop hinterlegte Secrets. Ab Version 5.4.0 kommt obendrauf, dass beliebiger Code auf dem Server ausgeführt werden kann. Damit ist das kein Bagatell-Bug, sondern ein Fall für „diese Woche erledigen".

Bin ich betroffen?

Kurz gesagt: Wenn du JTL-Shop 5 in einer Version vor dem jeweiligen Sicherheits-Build einsetzt, ja. Deine aktuelle Version findest du im Backend im Informations-Widget des Dashboards (unter /admin).

Maßgeblich ist, in welchem Versionszweig du unterwegs bist:

• 5.7.0 oder 5.7.1 → Update bzw. Patch auf 5.7.2
• 5.6.0 oder 5.6.1 → auf 5.6.2
• 5.5.x → auf 5.5.4
• Ältere 5.x-Version (5.0–5.4), die nicht direkt auf einen aktuellen Build kann → Back-Patch für 5.0.0 bis 5.7.0

JTL hat Shops im eigenen JTL-Hosting bereits automatisch abgesichert. Dort kann im Backend ein Hinweis auf eine modifizierte Datei (SmartyRenderer.php) erscheinen – das ist in diesem Fall korrekt und verschwindet erst mit einem regulären Update auf eine neue gepatchte Version.

Was jetzt zu tun ist

Spiele die für deinen Versionszweig passende gepatchte Version ein. Die Downloads und Anleitungen findest du im offiziellen JTL-Releaseforum. Hast du auf eine reguläre gepatchte Version aktualisiert, ist anschließend nichts weiter zu beachten.

Hast du eine ältere Version manuell über den Back-Patch abgesichert, zeigt das Backend den erwähnten Hinweis auf die modifizierte SmartyRenderer.php. Das ist normal und wird erst durch ein späteres Update auf eine entsprechende neue Version bereinigt.

Generell gilt: Ältere JTL-Shop-Versionen können weitere Sicherheitslücken enthalten. Es lohnt sich also ohnehin, den Shop aktuell zu halten – nicht nur wegen dieser einen Lücke.

Wir übernehmen das für dich

Du willst den Patch sicher und ohne Ausfall eingespielt bekommen – idealerweise erst auf einem Staging-System getestet, dann live? Genau das ist unser Tagesgeschäft.

Als JTL-Servicepartner kümmern wir uns um das Update deines Shops: betroffene Version prüfen, passenden Patch sauber einspielen, Funktion und E-Mail-Versand danach gegentesten. Wenn du auf einer älteren Version festhängst, finden wir den richtigen Weg – ob direktes Update oder Back-Patch.

Melde dich einfach bei uns, dann schauen wir uns deinen Shop an.

Technischer Hintergrund

Für alle, die es genau wissen wollen: Es handelt sich um eine SSTI im E-Mail-Betreff. Die Lücke wird als CVE-2026-54390 geführt und wurde im Rahmen einer koordinierten Offenlegung gemeinsam von JTL und dem auf E-Commerce-Sicherheit spezialisierten Sansec Threat Research Team gemeldet. Ab Shop 5.4.0 registriert der Shop bestimmte PHP-Funktionen als Smarty-Modifier, wodurch über die Template-Verarbeitung Code zur Ausführung gebracht werden kann.

Die Art der Schwachstelle erlaubt keine zuverlässige Aussage darüber, ob sie vor ihrer Entdeckung bereits ausgenutzt wurde. Konkrete Missbrauchshinweise liegen nach Stand der Veröffentlichung nicht vor – was aber kein Grund ist, das Update aufzuschieben.

Quellen: JTL-Software (Partner-Newsletter & Releaseforum), Sansec Threat Research (CVE-2026-54390). Dieser Beitrag gibt den Stand zum Veröffentlichungsdatum wieder.