Skip to main navigation Skip to main content Skip to page footer
Wolfgang Wagner - TYPO3 Seminare, Workshops, Tutorials, Support
TYPO3-Security: 6 neue Advisories für News, KE Search und Co.

TYPO3-Security: 6 neue Advisories für News, KE Search und Co.

Artikel vorlesen lassen

Loading the Elevenlabs Text to Speech AudioNative Player...
| TYPO3 | Geschätzte Lesezeit : min.

Sicherheitsupdates für News, KE Search, tt_address und drei weitere Extensions. Eine kurze Einordnung, was kritisch ist und was in den nächsten Wartungslauf gehört.

Am 19. Mai 2026 hat das TYPO3 Security Team sechs neue Extension Security Advisories veröffentlicht. Drei davon betreffen Extensions, die in TYPO3-Projekten sehr verbreitet sind: News (georgringer/news), KE Search (tpwd/ke_search) und tt_address (friendsoftypo3/tt-address). Die anderen drei drehen sich um Site Crawler, Frontend User Registration und einen Content Element Selector. Hier eine kurze Einordnung, was wirklich wichtig ist und welches Risiko konkret besteht.

News system (EXT-SA-2026-010), High

Im News-System steckt eine SQL-Injection. Verwundbar ist das Plugin "Date Menu of news articles", sofern die Plugin-Einstellung disableOverrideDemand nicht gesetzt ist. Über einen URL-Parameter lässt sich aus dem Frontend, ohne Login, beliebiges SQL einschleusen. Wer News mit dem Date-Menu-Plugin im Einsatz hat, sollte das Update zeitnah einspielen. Wer das Plugin nicht nutzt, ist nicht direkt verwundbar, sollte aber trotzdem aktualisieren.

Fix in den Versionen 14.0.3, 13.0.2, 12.3.2 und 11.4.4.

KE Search (EXT-SA-2026-011), Medium

Faceted Search bringt gleich drei Schwachstellen mit: XML External Entity, Path Traversal und Information Disclosure. Über präparierte xlsx- oder pptx-Dateien in indizierten Verzeichnissen können lokale Dateien gelesen oder ausgehende HTTP-Requests ausgelöst werden. Der Inhalt landet im Suchindex. Zusätzlich kann ein Backend-User mit Rechten an den Indexer-Konfigurationen interne TYPO3-Tabellen oder beliebige Dateien auf dem Server in den Suchindex kopieren.

Die Ausnutzung setzt also Backend-Zugriff auf die Indexer-Konfiguration voraus. Trotzdem solltest du mit dem Update nicht zu lange warten, gerade wenn mehrere Redakteure oder Admins Zugang zu den Indexer-Einstellungen haben.

Fix in den Versionen 7.0.1, 6.6.1 und 5.6.2.

tt_address (EXT-SA-2026-012), Medium

In der Methode AddressRepository::getSqlQuery() wird Benutzereingabe nicht sauber maskiert. Ergebnis: SQL-Injection. Wichtig zu wissen: Die Methode wird innerhalb von tt_address selbst nirgends aufgerufen. In einer Standardinstallation entsteht also kein direktes Risiko. Verwundbar bist du erst, wenn eine eigene oder fremde Extension diese Methode mit ungeprüfter Eingabe nutzt.

Das Update sollte trotzdem eingespielt werden. Ein Argument wie "Wir rufen die Methode nicht selbst auf" ist zu dünn, sobald ein Drittentwickler in einem Sitepackage oder einer Projekt-Extension etwas anderes vorhatte.

Fix in den Versionen 10.0.1, 9.1.1 und 8.1.2.

Die drei weiteren Extensions im Überblick

  • Site Crawler (tomasnorre/crawler), High: Unsichere Deserialisierung im Response-Header X-T3Crawler-Meta. Führt zu Remote Code Execution, allerdings nur ausnutzbar, wenn ein Admin eine Crawl-Konfiguration und einen passenden Scheduler-Task aufsetzt. Risiko vor allem in Setups mit mehreren Admins. Fix in 12.0.11 und 11.0.13.
  • Frontend User Registration / sf_register (evoweb/sf-register), Medium: Broken Access Control. Beim Anlegen oder Bearbeiten von Frontend-Usern lassen sich beliebige FE-Gruppen zuweisen. Wer sf_register für Frontend-Registrierungen einsetzt, sollte zeitnah aktualisieren, da unautorisierte Zugriffe auf geschützte FE-Bereiche möglich sind. Fix in 14.0.2 und 13.2.4.
  • Content Element Selector (mmc/ceselector), Critical: Unsichere Deserialisierung eines Cookies führt zu Remote Code Execution, ohne Login, direkt aus dem öffentlichen Netz. Voraussetzung ist die Plugin-Konfiguration "Persistent Mode: Static". Wenn du diese Extension einsetzt: sofort updaten. Fix in 6.0.1, 5.0.1, 4.0.2 und 3.0.3.

Was du als Integrator jetzt tun solltest

Eine schnelle Bestandsaufnahme reicht meistens. Ein composer show oder ein Blick in den Extension Manager zeigt, welche der genannten Pakete in welcher Version installiert sind. Danach Updates einspielen, Caches leeren und bei KE Search die Indexer einmal sauber durchlaufen lassen.

Die Reihenfolge nach Dringlichkeit:

  1. Content Element Selector (Critical, unauthentifiziert, aus dem Netz erreichbar)
  2. News mit aktivem Date-Menu-Plugin (High, unauthentifiziert)
  3. Site Crawler (High, aber Admin-Voraussetzung)
  4. KE Search, sf_register, tt_address (Medium, gehören in den nächsten Wartungslauf)

Die vollständigen Details samt CVE-Referenzen findest du direkt in den Original-Advisories:

Back

Du hast eine Frage oder willst das Thema diskutieren? 

Im Community Hub für TYPO3 kannst du dich mit anderen TYPO3 Anwendern austauschen. Und wenn du keine neuen Artikel verpassen willst: Der TYPO3 Newsletter kommt einmal im Monat, ohne Spam.

Wolfgang Wagner

Wolfgang Wagner

TYPO3 Trainer, Integrator und Berater TYPO3 Certified Integrator (TCCI)

Wolfgang Wagner – TYPO3 Seminare und Support · TYPO3 Education and Certification Committee · TCCI Task Force

Wolfgang Wagner arbeitet seit 2006 mit TYPO3 und ist unter wwagner.net als Trainer, Integrator und Berater aktiv. Schwerpunkt sind Schulungen, Online-Kurse und individuelle Beratung für Integratoren, Agenturen und Betreiber von TYPO3-Webseiten, die TYPO3 sauber, modern und wirtschaftlich einsetzen wollen. Er ist Mitglied im TYPO3 Education and Certification Committee und in der TCCI Task Force und gestaltet die offizielle TYPO3 Certified Integrator Prüfung aktiv mit.

✉ wwagner@wwagner.net 🌐 Website

Der TYPO3 Newsletter

TYPO3-Insights direkt in dein Postfach! 
Hol dir monatliche Updates, praktische Tipps und spannende Fallstudien. 
Übersichtlich, zeitsparend, ohne Spam. 
Bist du dabei? Jetzt für den Newsletter anmelden!

Trage dich hier ein, um den Newsletter zu erhalten.