JTL Shop 5 Sicherheitslücke: SSTI-Schwachstelle betrifft alle Versionen ab 5.0.0 — Patch jetzt einspielen

Auf einen Blick

• ✓JTL hat eine kritische Server-Side Template Injection (SSTI) in JTL Shop 5 bekanntgegeben — entdeckt gemeinsam mit dem Sansec Threat Research Team. Betroffen sind alle Shop-Versionen ab 5.0.0. Die Lücke steckt in der Datei `/includes/src/Mail/Renderer/SmartyRenderer.php`. Konkrete Hinweise auf eine Ausnutzung liegen laut JTL bisher nicht vor.
• ✓Über die Schwachstelle lassen sich der Blowfish-Key und das Datenbankpasswort des Shops auslesen. Ab Version 5.4.0 ist zusätzlich Remote Code Execution (RCE) möglich — also das Ausführen beliebigen Codes auf dem Server. Das ist kein Bagatell-Bug.
• ✓Patches stehen für alle aktiven Versionen bereit: 5.5.4, 5.6.2 und 5.7.2. Wer auf 5.7.1 läuft, spielt den Patch auf 5.7.2 ein. JTL Hosting-Kunden wurden bereits automatisch abgesichert.

Wir bei Vlarom E-Commerce Agentur begleiten JTL-Shop-Updates für Händler deutschlandweit (Quelle: JTL-Software Partnerverzeichnis). Security-Patches gehören zu den Fällen, bei denen wir unseren Kunden aktiv auf die Schulter tippen: Das muss diese Woche erledigt sein. Nicht weil Panik angebracht wäre, sondern weil ein bekannter, veröffentlichter Exploit ein Fenster öffnet, das jeden Tag größer wird. Wir haben heute Morgen den JTL Partner-Newsletter gelesen und rufen betroffene Kunden bereits durch.

Für Entscheidungen braucht man Fakten, keine Panik. Hier sind die technischen Details aus dem offiziellen JTL Partner-Newsletter vom 17. Juni 2026, die relevant sind.

Quelle: JTL Partner-Newsletter, 17.06.2026 (partner@jtl-software.com): „Es handelt sich um eine Server-Side Template Injection (SSTI) im Betreff einer E-Mail. Darüber lässt sich potenziell der Blowfish-Key oder das Datenbankpasswort auslesen. Ab Shop 5.4.0 ist zusätzlich eine Remote Code Execution (RCE) möglich. Die Art der Schwachstelle erlaubt keine zuverlässige Aussage darüber, ob sie vor Entdeckung ausgenutzt wurde; konkrete Missbrauchshinweise liegen uns nicht vor.“

Die fünf wichtigsten Punkte zur Einordnung:

• →Angriffsvektor: E-Mail-Betreff: Die Lücke steckt nicht im Checkout oder Login, sondern im Template-System für ausgehende E-Mails. Ein Angreifer muss eine E-Mail mit präpariertem Betreff auslösen können — zum Beispiel über ein Kontaktformular, eine Bestellung oder einen anderen Auslöser, der eine Shop-E-Mail triggert. Das ist kein direkter, sofortiger Angriff, aber kein theoretisches Szenario.
• →Betroffene Datei: SmartyRenderer.php: Der Fehler liegt in `/includes/src/Mail/Renderer/SmartyRenderer.php`. Wer den manuellen Patch einspielt, sieht danach im Backend einen Hinweis auf eine modifizierte Datei — das ist korrekt und kein Fehler, sondern zeigt, dass der Patch aktiv ist.
• →Schweregrad steigt ab Version 5.4.0: Für Shops auf 5.0.0 bis 5.3.x ist das Risiko auf Datenleck (Blowfish-Key, DB-Passwort) begrenzt. Ab 5.4.0 kommt RCE hinzu — das bedeutet, ein Angreifer kann im schlimmsten Fall beliebigen Code auf dem Server ausführen. Das stuft den Schweregrad erheblich herauf.
• →JTL Hosting: bereits abgesichert: Shops im JTL Hosting wurden von JTL automatisch und ohne Zutun des Händlers abgesichert. Diese Shops sehen im Backend einen Hinweis auf eine modifizierte Datei — das ist gewollt. Hier ist nichts weiter zu tun.
• →Aktive Ausnutzung: keine bekannten Fälle: JTL hat laut offiziellem Partner-Newsletter zum jetzigen Zeitpunkt keine konkreten Hinweise auf eine aktive Ausnutzung der Lücke. Das ist ein relevanter Unterschied zu einem Zero-Day, bei dem eine Lücke bereits aktiv ausgenutzt wird, bevor ein Patch verfügbar ist. Trotzdem: Veröffentlichte Lücken werden schnell von automatisierten Angriffstools aufgegriffen.

So spielst du den JTL Shop Sicherheitspatch schnell und sicher ein — Schritt für Schritt.

Melde dich im JTL Shop Backend unter `/admin` an. Im Dashboard-Widget ‚Informationen‘ steht deine aktuelle Version. Alternativ: im Informations-Widget unter Administration > System. Notiere die genaue Versionsnummer — das bestimmt welchen Patch du brauchst.

Auf 5.7.1? Download für 5.7.2 im offiziellen JTL Releaseforum unter forum.jtl-software.de. Auf 5.6.1? Download für 5.6.2. Auf 5.5.3? Download für 5.5.4. Ältere Versionen (5.0.0–5.7.0, die keine direkte Patch-Version bekommen): manueller Patch über den separaten Patch-Download im Forum. Nur die offiziellen JTL-Quellen verwenden — kein Drittanbieter-Download.

Vor jedem Update: Backup der Datenbank (SQL-Dump) und aller Shop-Dateien. Ohne Backup kein Update — das gilt für Sicherheitspatches genauso wie für reguläre Updates. Im Hosting-Panel des Anbieters gibt es meist eine Einzel-Backup-Funktion, alternativ per SSH und mysqldump.

Das Update läuft über den regulären Update-Assistenten im JTL Shop Backend unter Administration > System > Aktualisieren. Das Vorgehen ist identisch mit einem normalen Shop-Update: ZIP hochladen, Installationsroutine durchlaufen, Datenbank-Update ausführen. Bei Version 5.7.1 auf 5.7.2 handelt es sich um einen reinen Sicherheitspatch, keine umfangreiche Feature-Änderung.

Nach dem Update: Bestellung testweise durchlaufen, E-Mail-Versand prüfen (Bestellbestätigung, Versandbestätigung), Connector-Verbindung überprüfen. Backend unter Administration > System > Diagnose aufrufen — dort werden Dateikonsistenz-Probleme angezeigt. Wenn der manuelle Patch eingespielt wurde, zeigt das Backend einen Hinweis auf eine modifizierte Datei bei SmartyRenderer.php. Das ist normal und korrekt.

Autor

Alexander Luft

JTL Service Partner Gold · Vlarom E-Commerce Agentur · Ahrensfelde bei Berlin