Symfony & Twig Security Updates für Shopware 6: Der praktische Leitfaden

von | Juni 1, 2026 | Alle, Shopware 6, Shopware Einstellungen, Shopware Entwicklung, Shopware Monitoring & Analyse | 0 Kommentare

Kritische Sicherheitslücken in Symfony und Twig gefährden Shopware 6 Installationen – unabhängig von der eigenen Shopware-Version. Dieser Artikel zeigt dir Schritt für Schritt, wie du deine Shops sicherst – und welche Versionen bleiben können.

Das Problem: Symfony & Twig, nicht Shopware selbst

Mitte Mai 2026 wurden kritische Sicherheitslücken in den Abhängigkeiten von Shopware entdeckt – konkret in Symfony und Twig. Das Paradoxe:

  • 🔴 Auch wer auf der neuesten Shopware-Version läuft, kann betroffen sein
  • 🔴 Es gibt keinen Hotfix als Plugin
  • ⚠️ Die Lücken sind im Basis-Code (Symfony/Twig), nicht in Shopware selbst
  • ⚠️ Shopware AG hat kein neues Release veröffentlicht – du musst selbst handeln

Gute Nachricht: Die Fixes laufen über composer update und dauern nur Minuten.

Schritt 1: System prüfen

1.1 Mit dem Tools Plugin prüfen

Tools ist ein kostenloses, sehr nützliches Plugin von Friends of Shopware (Frosh).

⚠️ Achtung: Es gibt zwei Plugins mit ähnlichem Namen. Du brauchst nur „Tools“, nicht „Hilfreiche Tools für die Entwicklung“. Das Plugin greift auf die composer.json deines Shops zu – ähnlich wie beim Anlegen eines Shopware 6 Childthemes:

→ Shopware Store: Tools Plugin

Nach der Installation siehst du oben rechts in der Admin Sidebar ein farbiges Icon (grün ✅, orange ⚠️, oder rot 🔴).

Klick drauf → System-Status → „Composer security advisories“

Wenn dort Warnungen stehen, weißt du: Es gibt etwas zu tun.

Grüne Lämpchen? Dann kannst du früher Feierabend machen 😉

1.2 Per SSH: composer audit

Melde dich per SSH auf deinem Server an:

ssh web2@example.com
cd /web

Dann prüfe den Status:

composer audit

Beispiel-Output bei Problemen:

Found 7 security vulnerability advisories affecting 3 packages:
- symfony/http-foundation: CVE-2026-48736
- symfony/routing: CVE-2026-48784
- twig/twig: CVE-2026-48808 (+ 4 weitere)

Beispiel-Output wenn alles sauber ist:

No security vulnerability advisories found.

Wenn du dennoch Fehler nach dem Update siehst, hilft unser Leitfaden zum Shopware 6 Debugging weiter.

Schritt 2: Shopware-Version prüfen

Bevor du den Update-Befehl ausführst, prüfe deine Shopware-Version:

composer show shopware/core | grep "versions"

Output-Beispiel:

* v6.7.10.1

Die Version bestimmt, welcher Befehl kommt. Siehe Tabelle unten.

Schritt 3: Den richtigen Update-Befehl wählen

WICHTIG: Es gibt zwei verschiedene Befehle je nach Shopware-Version. Wähle den Richtigen!

Shopware Version Status Befehl
< 6.5.8.0 🔴 KRITISCH composer require shopware/core:^6.7.10 && composer update
6.5.8.0 bis 6.5.9.x ⚠️ Alt composer require shopware/core:^6.7.10 && composer update
6.6.0 bis 6.6.10.11 🔴 KRITISCH composer require shopware/core:^6.7.10 && composer update
6.6.10.12 bis 6.6.10.17 ⚠️ Veraltet composer update
6.6.10.18+ ✅ Aktuell composer update
6.7.0 bis 6.7.5.x 🔴 KRITISCH composer require shopware/core:^6.7.10 && composer update
6.7.6.0 bis 6.7.9.x ⚠️ Veraltet composer update
6.7.10.1+ ✅ Aktuell composer update

💡 Wichtig: Versionen mit ✅ können bleiben!

Wenn deine Shopware-Version 6.6.10.12+ oder 6.7.6.0+ ist, musst du kein Major-Update machen. Ein einfaches composer update reicht aus, um alle Sicherheitslücken zu fixen.

Nur die älteren Versionen (🔴 KRITISCH) brauchen einen Major-Update auf 6.7.10.

Schritt 4: Update fahren

Variante 1: Nur Dependencies updaten (für 6.6.10.12+ oder 6.7.6.0+)

composer update

Das ist der einfache Weg. Die Lücken werden gepatcht, keine Breaking Changes.

Variante 2: Major-Update (für ältere Versionen)

composer require shopware/core:^6.7.10 && composer update

Das ist aufwändiger, aber notwendig für alte Versionen mit EOL-Dependencies.

Was passiert während des Updates?

Du siehst etwa so etwas:

Loading composer repositories with package information
Updating dependencies
Lock file operations: 0 installs, 26 updates, 0 removals
  - Upgrading symfony/http-foundation (v7.4.8 => v7.4.13)
  - Upgrading symfony/routing (v7.4.12 => v7.4.13)
  - Upgrading twig/twig (v3.26.0 => v3.27.1)
  [... mehr Updates ...]
Writing lock file
Generating optimized autoload files

Nach etwa 1-2 Minuten ist es fertig.

Schritt 5: Cache leeren

Nach dem Update den Cache löschen:

php bin/console cache:clear --env=prod

Schritt 6: Verifikation

Jetzt prüfen, ob alles sauber ist:

composer audit

Erfolgreiches Ergebnis:

No security vulnerability advisories found.

Fertig! Dein Shop ist jetzt sicher.

Häufige Fragen

F: Muss ich alles auf 6.7.10 updaten?

A: Nur wenn du älter als 6.6.10.12 oder 6.7.6.0 bist. Alle neueren Versionen können bleiben und werden nur durch composer update gepatcht.

F: Gibt es Breaking Changes?

A: Für Patch-Updates (z.B. 6.7.9 → 6.7.10.1) nur minor. Für Major-Updates (6.5 → 6.7) solltest du vorher auf Staging testen.

F: Kann ich das direkt auf Live machen?

A: Ja, aber: Bei älteren Versionen lieber erst Staging updaten und prüfen – am besten nach unserer Best-Practice für Shopware-Updates und mit einem Backup, das du im Ernstfall wiederherstellen kannst. Patch-Updates sind safe. Tipp: Wie du Update-Benachrichtigungen in Shopware kontrollierst, zeigt dieser Beitrag.

F: Wie lange dauert es?

A: composer update dauert etwa 1-2 Minuten. Cache leeren weitere 10 Sekunden. Total: ~3 Minuten.

F: Was, wenn composer audit immer noch Fehler zeigt?

A: Das sollte nicht sein. Prüfe: Wurde composer update komplett ausgeführt? Hattest du genug Speicher? Falls nötig: `composer clear-cache` und nochmal versuchen. Bleibt ein Fehler, hilft unsere Shopware 6 Fehler-Sammlung bei der Einordnung.

Zusammenfassung

Schritt Befehl/Aktion Dauer
1. Prüfen composer audit 10 Sekunden
2. Version prüfen composer show shopware/core 5 Sekunden
3. Update fahren composer update (oder Variante 2) 1-2 Minuten
4. Cache leeren php bin/console cache:clear --env=prod 10 Sekunden
5. Verifikation composer audit 10 Sekunden

Total: ~3 Minuten für einen sicheren Shop.

Fazit

Ein Update verursacht weniger Schmerzen als ein Sicherheits- oder Datenschutz-Vorfall.

Die Symfony- und Twig-Lücken sind kritisch. Aber die Fixes sind einfach und schnell. Nutze die Tabelle oben, führe die Befehle aus – und dein Shop ist sicher.

Bei Fragen: SSH, `cd /web`, und die Befehle aus diesem Artikel. Das wars. 🚀

Kein Bock auf SSH-Befehle und manuelle Updates? Unser Support & Wartungsvertrag übernimmt Security Monitoring, Composer-Updates und Patches für dich – damit du dich ums Verkaufen kümmern kannst.

Unsicher, ob dein Shop betroffen ist? Frag einen kurzen Sicherheits-Check an – wir schauen drauf.

Letzter Update: Juni 2026 | Betroffen: Shopware 6.5–6.7 | Lücken: Symfony, Twig | Fix: composer update

Super Mega Slider Kostenlos testen
Lieferzeit Anz. Pro Kostenlos testen
Art.-Anz. in Kat. Kostenlos testen
Nur akt. Kategorien Kostenlos testen
Detailseite Pro Kostenlos testen
Checkout Booster Kostenlos testen
Kategorie Icons Kostenlos testen
DreamTheme Kostenlos testen
Countdown Kostenlos testen
Magic Browser Tab Kostenlos testen
Menü im Header Kostenlos testen
Updates ausblenden Kostenlos testen