TYPO3 Security Releases: Vier Sicherheitslücken in 14.0.2, 13.4.23 und 12.4.41 geschlossen
Artikel vorlesen lassen
TYPO3 14.0.2, 13.4.23 und 12.4.41 sind erschienen und schließen mehrere Sicherheitslücken. Hier erfährst du, was betroffen ist und wie dringend das Update ist.
Am 13. Januar 2026 hat das TYPO3-Team neue Security Releases veröffentlicht. Betroffen sind alle aktuell unterstützten Versionen: TYPO3 14.0.2, 13.4.23 LTS, 12.4.41 LTS sowie die ELTS-Versionen 11.5.49 und 10.4.55.
Vier Sicherheitslücken wurden geschlossen. Drei davon betreffen fehlerhafte Zugriffskontrollen im Backend, eine vierte ein Deserialisierungs-Problem im Mail-Spool.
Die vier Security Advisories im Überblick
TYPO3-CORE-SA-2026-001: Broken Access Control im Edit Document Controller
Backend-Nutzer konnten über den defVals-Parameter Zugriffskontrollen umgehen und Daten in geschützte Felder einfügen, für die sie eigentlich keine Berechtigung hatten. Betroffen waren alle Versionen von 10.0.0 bis 14.0.1. Der Schweregrad wird als mittel eingestuft.
TYPO3-CORE-SA-2026-002: Broken Access Control im Redirects-Modul
Backend-Nutzer mit Zugriff auf das Redirects-Modul konnten alle Redirect-Einträge lesen und ändern, unabhängig von ihren File-Mounts oder Web-Mounts. Das ermöglichte das Anlegen von Redirects zu beliebigen URLs und damit potenzielle Phishing-Angriffe. Auch hier: mittlerer Schweregrad.
TYPO3-CORE-SA-2026-003: Broken Access Control im Recycler-Modul
Das ist die kritischste der vier Lücken. Backend-Nutzer mit Zugriff auf das Recycler-Modul konnten beliebige Daten aus jeder TCA-Tabelle löschen, ohne die entsprechenden Berechtigungen zu haben. Im schlimmsten Fall konnten Angreifer damit ganze Website-Inhalte zerstören und die Seite unbrauchbar machen. Schweregrad: hoch.
TYPO3-CORE-SA-2026-004: Insecure Deserialization im Mailer File Spool
Lokale Nutzer mit Schreibzugriff auf das Mail-Spool-Verzeichnis konnten manipulierte Dateien einschleusen, die beim Ausführen des mailer:spool:send-Befehls zu Remote Code Execution führten. Das Problem betrifft nur Installationen mit aktiviertem File-Spool-Transport. Schweregrad: mittel.
Was jetzt zu tun ist
Die Updates lassen sich wie gewohnt einspielen. Für diese Maintenance-Releases sind keine zusätzlichen Datenbankupdates erforderlich.
Wie dringend das Update ist, hängt von deiner Installation ab. Wenn du mehrere Backend-Nutzer mit unterschiedlichen Berechtigungsstufen hast, solltest du zeitnah updaten. Besonders die Recycler-Lücke (SA-2026-003) ist ernst zu nehmen.
Falls du noch mit TYPO3 11 oder 10 arbeitest und ELTS-Support hast, stehen auch dafür gepatchte Versionen bereit.
Weitere Informationen
Alle Details zu den Security Advisories findest du auf typo3.org:
Die offiziellen Release Notes gibt es hier:
ZurückKommentare unter Artikeln sind deaktiviert. Wenn du eine Frage oder Ergänzung hast, schreib mir bitte eine E-Mail.
Wer schreibt hier?
Hi, ich bin Wolfgang.
Seit 2006 tauche ich tief in die faszinierende Welt von TYPO3 ein – es ist nicht nur mein Beruf, sondern auch meine Leidenschaft. Mein Weg führte mich durch unzählige Projekte, und ich habe Hunderte von professionellen Videoanleitungen erstellt, die sich auf TYPO3 und seine Erweiterungen konzentrieren. Ich liebe es, komplexe Themen zu entwirren und in leicht verständliche Konzepte zu verwandeln, was sich auch in meinen Schulungen und Seminaren widerspiegelt.
Als aktives Mitglied im TYPO3 Education Committee setze ich mich dafür ein, dass die Prüfungsfragen für den TYPO3 CMS Certified Integrator stets aktuell und herausfordernd bleiben.
Meine Leidenschaft endet aber nicht am Bildschirm. Wenn ich nicht gerade in die Tiefen von TYPO3 eintauche, findest du mich oft auf meinem Rad, während ich die malerischen Wege am Bodensee erkunde. Diese Ausflüge ins Freie sind mein perfekter Ausgleich – sie halten meinen Geist frisch und liefern mir immer wieder neue Ideen.