Im JTL Shop 5 wurde eine kritische Sicherheitslücke bekannt, bei der Shopbetreiber jetzt nicht abwarten sollten. Wer einen JTL Onlineshop betreibt, sollte die aktuell installierte Version sofort prüfen und den Shop auf eine gepatchte Version aktualisieren.
Aus meiner Sicht als Experte ist das kein kleines technisches Detail, das man irgendwann nebenbei erledigt. Es geht um die Sicherheit des gesamten eCommerce Systems, um Kundendaten, Zugangsdaten, Datenbankinformationen und im schlimmsten Fall um die Kontrolle über den Server.
Ich bin selbst kein offizieller JTL Service Partner. Trotzdem arbeite ich regelmäßig mit JTL Shop 5, JTL Wawi, Shopware, Shopify, WordPress und anderen Onlineshopsystemen. Genau deshalb möchte ich das Thema klar einordnen: Wenn dein JTL Shop 5 noch nicht aktualisiert wurde, ist jetzt der richtige Zeitpunkt zu handeln.
Was ist passiert?
JTL hat gemeinsam mit dem Sansec Threat Research Team eine Schwachstelle im JTL Shop 5 identifiziert. Betroffen sind JTL Shop 5 Installationen, für die nun Sicherheitsupdates beziehungsweise Patches bereitstehen.
Technisch handelt es sich um eine sogenannte Server Side Template Injection, kurz SSTI. Die Schwachstelle sitzt im Zusammenhang mit dem Betreff einer E-Mail. Das klingt im ersten Moment unscheinbar, ist aber sicherheitstechnisch extrem relevant.
Über diese Schwachstelle können Angreifer unter bestimmten Bedingungen sensible Informationen auslesen. Dazu zählen unter anderem der Blowfish-Key und das Datenbankpasswort. Ab JTL Shop 5.4.0 ist zusätzlich eine Remote Code Execution möglich. Das bedeutet: Angreifer könnten potenziell Schadcode auf dem Server ausführen.
Für einen Onlineshop ist das ein ernstes Risiko. Ein eCommerce System enthält nicht nur Produkte und Bestellungen, sondern auch Kundendaten, Zahlungsprozesse, Schnittstellen, Versanddaten, API Zugangsdaten und häufig direkte Verbindungen zu Warenwirtschaft, Newsletter Tools oder Tracking Systemen.
Warum du deinen JTL Shop 5 jetzt aktualisieren solltest
Bei Sicherheitslücken zählt Zeit. Sobald eine Schwachstelle öffentlich bekannt ist, steigt das Risiko, dass automatisierte Scans und Angriffsversuche folgen. Viele Angriffe auf Onlineshops passieren nicht, weil jemand gezielt genau diesen einen Shop ausgesucht hat. Oft werden bekannte Schwachstellen automatisiert im Netz gesucht.
Das bedeutet: Auch kleinere Onlineshops sind gefährdet.
Gerade bei JTL Shop 5 ist die Dringlichkeit hoch, weil es nicht nur um eine optische Fehlfunktion oder einen normalen Bug geht. Es geht um eine Sicherheitslücke, die tief in das System eingreifen kann. Wer seinen Shop ungepatcht online lässt, riskiert im schlimmsten Fall Datenabfluss, Manipulationen, Malware, beschädigte Shopdateien oder Vertrauensverlust bei Kunden.
Ein Onlineshop ist heute nicht einfach nur eine Website. Er ist ein aktives Verkaufssystem. Wenn dieses System kompromittiert wird, betrifft das den gesamten Betrieb.
Welche Versionen solltest du installieren?
JTL stellt für die betroffenen Shop 5 Versionen passende Updates und Patches bereit. Besonders relevant sind die gepatchten Versionen:
JTL Shop 5.5.4
JTL Shop 5.6.2
JTL Shop 5.7.2
Wenn du bereits JTL Shop 5.5.3, 5.6.1 oder 5.7.1 nutzt, aktualisierst du in der Regel auf die jeweils nächsthöhere gepatchte Version.
Wenn du eine ältere Version wie 5.0.x, 5.1.x, 5.2.x, 5.3.x, 5.4.x, 5.5.0 bis 5.5.2, 5.6.0 oder 5.7.0 nutzt und aktuell nicht sauber auf eine neuere Version wechseln kannst, sollte zumindest der manuelle Patch geprüft und eingespielt werden.
Wichtig ist: Nicht einfach blind Dateien überschreiben. Gerade bei individuell angepassten Templates, Plugins, Zahlungsarten, Versandarten oder älteren Shopstrukturen sollte vorher sauber geprüft werden, was im System aktiv ist.
Hier findest Du eine Anleitung wie man bis JTL Shop 5.7.1 den Patch einspielen kann, Falls Du deine aktuelle Shopversion beibehalten möchtest:
zur Patch-AnleitungWo findest du deine aktuelle JTL Shop Version?
Deine aktuell installierte JTL Shop Version findest du im Backend deines Shops. Melde dich dazu im Adminbereich an und schaue im Dashboard in das Informations Widget.
Der Adminbereich ist normalerweise über den Pfad /admin erreichbar.
Wenn dort zum Beispiel eine ältere JTL Shop 5 Version angezeigt wird, solltest du nicht davon ausgehen, dass „schon alles passt“.
Prüfe aktiv, ob dein Shop bereits auf einer gepatchten Version läuft.
Was sollte vor dem Update gemacht werden?
Auch wenn das Update dringend ist, sollte es kontrolliert durchgeführt werden. Ein guter Ablauf ist aus meiner Sicht:
Vor dem Update sollte ein vollständiges Backup erstellt werden. Dazu gehören Shopdateien, Datenbank, Template Anpassungen, Plugin Dateien und wichtige Konfigurationsdateien. Danach sollte geprüft werden, welche PHP Version aktiv ist, welche Plugins installiert sind und ob individuelle Anpassungen im Template oder Core vorhanden sind.
Gerade JTL Shops sind in der Praxis oft gewachsen. Viele Onlineshops laufen über Jahre, wurden mehrfach erweitert, haben Zahlungsplugins, Versandmodule, Tracking Codes, eigene Template Änderungen oder Schnittstellen zur Warenwirtschaft. Deshalb ist es wichtig, das Update nicht nur technisch einzuspielen, sondern danach auch wirklich zu testen.
Was sollte nach dem Update geprüft werden?
Nach dem Update sollte der Shop nicht einfach wieder „als erledigt“ betrachtet werden. Prüfe mindestens die Startseite, Kategorien, Artikelseiten, Warenkorb, Checkout, E-Mail Versand, Zahlungsarten, Versandarten und die Verbindung zur JTL Wawi.
Bei einem eCommerce System zählt nicht nur, ob die Seite optisch lädt. Entscheidend ist, ob Kunden weiterhin bestellen können, ob Bestellungen sauber ankommen, ob E-Mails korrekt versendet werden und ob die Schnittstellen funktionieren.
Wenn dein JTL Shop 5 nach dem Update sauber auf einer gepatchten Version läuft, ist laut JTL nichts Weiteres zu beachten. Wurde eine ältere Version manuell gepatcht, kann im Backend ein Hinweis auf eine modifizierte Datei erscheinen. Für die Datei /includes/src/Mail/Renderer/SmartyRenderer.php ist dieser Hinweis in diesem Zusammenhang erwartbar und wird erst durch ein späteres reguläres Update auf eine entsprechende neue Version bereinigt.
JTL Shop, Shopware, Shopify oder WordPress: Sicherheit ist kein optionales Thema
Diese Sicherheitsmeldung betrifft konkret JTL Shop 5. Trotzdem zeigt sie ein grundsätzliches Problem vieler Onlineshopsysteme: Ein Shop ist nie „fertig“.
Egal ob JTL Shop, Shopware, Shopify oder WordPress mit WooCommerce: Updates, Sicherheitschecks und technische Pflege gehören zum Betrieb eines professionellen Onlineshops dazu. Der Unterschied liegt nur darin, wie viel Verantwortung beim Betreiber selbst liegt.
Bei Shopify werden viele sicherheitsrelevante Dinge zentral über die Plattform abgefangen. Bei WordPress, WooCommerce, JTL Shop oder Shopware hängt deutlich mehr davon ab, ob System, Plugins, Server und Templates regelmäßig gepflegt werden.
Für mich ist das einer der wichtigsten Punkte im eCommerce: Ein schöner Onlineshop bringt wenig, wenn er technisch veraltet ist. Design, SEO, Conversion und Performance sind wichtig. Aber Sicherheit ist die Grundlage.
Brauchst du Hilfe beim JTL Shop 5 Update?
Wenn du selbst keine Zeit oder keine technischen Ressourcen hast, solltest du das Update nicht liegen lassen. JTL verweist hier auf zertifizierte JTL Service Partner, die beim Patchen unterstützen können.
Ich selbst bin kein zertifizierter JTL Partner. Ich möchte das bewusst transparent sagen.
Trotzdem kenne ich mich mit JTL Shop 5, JTL Wawi, eCommerce Projekten, Shopware, Shopify und WordPress sehr gut aus und kann dir helfen, deinen Shop technisch einzuordnen, die aktuelle Version zu prüfen, Backups vorzubereiten, Risiken zu erkennen und den Update Prozess sauber zu begleiten.
Gerade wenn du unsicher bist, ob dein Shop betroffen ist, welche Version installiert ist oder ob ein Update wegen Plugins und Template Anpassungen problematisch werden könnte, lohnt sich ein schneller technischer Blick.
Wenn du einen JTL Shop 5 betreibst, solltest du jetzt handeln. Prüfe deine Version, sichere deinen Shop und aktualisiere auf eine gepatchte Version.
Diese Sicherheitslücke ist kein Grund für Panik, aber definitiv ein Grund für sofortige Aufmerksamkeit. Je länger ein ungepatchter Onlineshop online bleibt, desto größer wird das Risiko.
Ein Onlineshop ist die digitale Verkaufsfläche deines Unternehmens. Kundendaten, Bestellungen, Produkte, Zahlungsprozesse und Schnittstellen verdienen Schutz. Deshalb gilt jetzt ganz klar:
- JTL Shop 5 prüfen.
- Update einspielen.
- Shop testen.
- Sicherheit ernst nehmen.
Wenn du Unterstützung brauchst, melde dich gern bei mir.
JETZT KONTAKT AUFNEHMENOder ruf mich an:
+49 (0) 151 591 566 39
Ich schaue mir deinen JTL Shop an und helfe dir dabei, die nächsten Schritte sauber und nachvollziehbar umzusetzen.

