TYPO3 13.4.27 und 12.4.44: Maintenance Releases mit CKEditor-Sandbox-Änderung
Artikel vorlesen lassen
Die Maintenance Releases TYPO3 13.4.27 und 12.4.44 enthalten eine Änderung am CKEditor, die iframes im Backend einschränkt. Wer Google Maps oder andere Embeds im RTE nutzt, sollte die Konfiguration prüfen.
Die TYPO3-Versionen 13.4.27 LTS und 12.4.44 LTS sind erschienen. Beide sind reine Wartungsreleases, ein Datenbank-Upgrade ist nicht nötig. Ein Detail verdient aber besondere Aufmerksamkeit: Die Releases enthalten Anpassungen aus CKEditor 5 v47.6.0, die das Verhalten von iframes im Rich Text Editor verändern.
Was hat sich geändert?
CKEditor 5 erzwingt ab Version 47.6.0 ein sandbox-Attribut auf allen <iframe>-Elementen in der Editing View. Das bedeutet: iframes werden standardmäßig in einen restriktiven Modus versetzt, der Skripte, Formulare, Popups und andere privilegierte Funktionen blockiert.
Der Hintergrund ist eine behobene Cross-Site-Scripting-Schwachstelle (CVE-2026-28343) im General HTML Support Feature von CKEditor. Unter bestimmten Konfigurationen war es möglich, über manipuliertes Markup unautorisierten JavaScript-Code auszuführen. Die Sandbox-Erzwingung ist Teil der Härtung gegen solche Angriffe.
Was bedeutet das in der Praxis?
Wer im TYPO3-Backend iframes im RTE nutzt (zum Beispiel für Google Maps Widgets oder andere eingebettete Inhalte), wird feststellen, dass diese nach dem Update im Backend nicht mehr wie gewohnt funktionieren. Scripts innerhalb der iframes werden blockiert.
Anpassung möglich, aber nicht unbedingt empfehlenswert
Wer iframes im RTE weiterhin nutzen will, kann das Sandbox-Verhalten über die RTE YAML-Konfiguration anpassen. Die genaue Konfiguration beschreibt die offizielle TYPO3-Releasemeldung. Dort finden sich auch die möglichen Abstufungen: von der strengsten Variante (alles blockiert) über gezielt freigegebene Flags bis hin zur kompletten Deaktivierung der Sandbox.
Allerdings lohnt sich an dieser Stelle ein ehrlicher Blick auf die eigene Praxis: iframes direkt im RTE einzubetten, ist aus guten Gründen nicht der empfohlene Weg. Redakteure haben wenig Kontrolle über den eingebetteten Code, die Wartbarkeit leidet, und Sicherheitsprobleme wie die jetzt behobene XSS-Schwachstelle zeigen, dass hier ein grundsätzliches Risiko besteht. Für Google Maps gibt es bewährte TYPO3-Extensions, und für andere Embeds ist ein eigenes Content Element die sauberere Lösung. Wer bisher iframes im RTE genutzt hat, könnte das Update zum Anlass nehmen, diesen Ansatz zu überdenken.
Fazit
Das Update ist schnell eingespielt und erfordert kein Datenbank-Upgrade. Wer keine iframes im RTE nutzt, muss nichts weiter tun. Wer iframes einsetzt, sollte die Darstellung im Backend prüfen und bei Bedarf die Konfiguration anpassen. Noch besser: gleich auf eine saubere Alternative umsteigen.
ZurückDu hast eine Frage oder willst das Thema diskutieren?
Im Community Hub für TYPO3 kannst du dich mit anderen TYPO3 Anwendern austauschen. Und wenn du keine neuen Artikel verpassen willst: Der TYPO3 Newsletter kommt einmal im Monat, ohne Spam.
Hi, ich bin Wolfgang.
Seit 2006 arbeite ich mit TYPO3. Nicht in der Theorie, sondern in echten Projekten mit echten Deadlines. Die Probleme, die du gerade hast, hatte ich wahrscheinlich schon dreimal.
Irgendwann habe ich angefangen, mein Wissen in Videokurse zu packen. Nicht weil ich gerne vor der Kamera stehe, sondern weil ich dieselben Fragen immer wieder gehört habe. Mittlerweile sind es Hunderte Videos geworden. Jedes Einzelne entstand aus einer konkreten Frage aus einem konkreten Projekt.
Was mich von einem YouTube-Tutorial unterscheidet: Ich kenne nicht nur die Lösung, sondern auch den Kontext. Warum etwas so funktioniert. Wann es nicht funktioniert. Und welche Fehler du dir sparen kannst, weil ich sie schon gemacht habe.
Meine Teilnehmer nutzen mich als Sparringspartner. Nicht im Sinne von "ruf mich jederzeit an", sondern so: Du kommst mit einem konkreten Problem in die Live-Session, postest deine Frage in der Community oder schaust dir das passende Video an. Und bekommst eine Antwort, die funktioniert, weil sie aus der Praxis kommt.
Als Mitglied im TYPO3 Education & Certification Committee sorge ich dafür, dass die Zertifizierungsprüfungen auf dem aktuellen Stand bleiben. Was dort geprüft wird, fließt direkt in meine Kurse ein.