Shopware & NGINX - Remote Code Execution via File Uploads

Ausführung von PHP in den Shopware Public-Verzeichnissen deaktivieren

In einigen Shopware 6 Erweiterungen befinden sich Upload-Implementierungen, die Datei-Uploads in Public Verzeichnissen von Shopware realisieren. Shopware stellt in der Standard-Konfiguration nicht sicher, dass in diesen Verzeichnissen keine PHP-Scripts ausgeführt werden können. Aus diesem Grund sollte beim Einsatz von NGINX folgende Direktive zusätzlich implementiert werden:


# Block .php .git .htaccess .env files in public folders
location ~ ^/(media|thumbnail|theme|bundles|sitemap).*\.(php|git|htaccess|env)$ {
    deny all;
}


Mit dieser Direktive wird die Ausführung von .php, .git, .htaccess und .env Dateien in den Public-Verzeichnissen media, thumbnail, theme, bundes und sitemap gesperrt.


Shopware Dokumentation

https://developer.shopware.com/docs/v6.4/resources/references/config-reference/server/nginx.html

Ähnliche Artikel
Auf dieser Seite
Notfall?
In dringenden Fällen steht Ihnen unsere Notfall-Hotline rund um die Uhr unter der Rufnummer +49 2507 900 80 - 34 zur Verfügung.