TYPO3 Security Releases: Vier Sicherheitslücken in 14.0.2, 13.4.23 und 12.4.41 geschlossen
Artikel vorlesen lassen
TYPO3 14.0.2, 13.4.23 und 12.4.41 sind erschienen und schließen mehrere Sicherheitslücken. Hier erfährst du, was betroffen ist und wie dringend das Update ist.
Am 13. Januar 2026 hat das TYPO3-Team neue Security Releases veröffentlicht. Betroffen sind alle aktuell unterstützten Versionen: TYPO3 14.0.2, 13.4.23 LTS, 12.4.41 LTS sowie die ELTS-Versionen 11.5.49 und 10.4.55.
Vier Sicherheitslücken wurden geschlossen. Drei davon betreffen fehlerhafte Zugriffskontrollen im Backend, eine vierte ein Deserialisierungs-Problem im Mail-Spool.
Die vier Security Advisories im Überblick
TYPO3-CORE-SA-2026-001: Broken Access Control im Edit Document Controller
Backend-Nutzer konnten über den defVals-Parameter Zugriffskontrollen umgehen und Daten in geschützte Felder einfügen, für die sie eigentlich keine Berechtigung hatten. Betroffen waren alle Versionen von 10.0.0 bis 14.0.1. Der Schweregrad wird als mittel eingestuft.
TYPO3-CORE-SA-2026-002: Broken Access Control im Redirects-Modul
Backend-Nutzer mit Zugriff auf das Redirects-Modul konnten alle Redirect-Einträge lesen und ändern, unabhängig von ihren File-Mounts oder Web-Mounts. Das ermöglichte das Anlegen von Redirects zu beliebigen URLs und damit potenzielle Phishing-Angriffe. Auch hier: mittlerer Schweregrad.
TYPO3-CORE-SA-2026-003: Broken Access Control im Recycler-Modul
Das ist die kritischste der vier Lücken. Backend-Nutzer mit Zugriff auf das Recycler-Modul konnten beliebige Daten aus jeder TCA-Tabelle löschen, ohne die entsprechenden Berechtigungen zu haben. Im schlimmsten Fall konnten Angreifer damit ganze Website-Inhalte zerstören und die Seite unbrauchbar machen. Schweregrad: hoch.
TYPO3-CORE-SA-2026-004: Insecure Deserialization im Mailer File Spool
Lokale Nutzer mit Schreibzugriff auf das Mail-Spool-Verzeichnis konnten manipulierte Dateien einschleusen, die beim Ausführen des mailer:spool:send-Befehls zu Remote Code Execution führten. Das Problem betrifft nur Installationen mit aktiviertem File-Spool-Transport. Schweregrad: mittel.
Was jetzt zu tun ist
Die Updates lassen sich wie gewohnt einspielen. Für diese Maintenance-Releases sind keine zusätzlichen Datenbankupdates erforderlich.
Wie dringend das Update ist, hängt von deiner Installation ab. Wenn du mehrere Backend-Nutzer mit unterschiedlichen Berechtigungsstufen hast, solltest du zeitnah updaten. Besonders die Recycler-Lücke (SA-2026-003) ist ernst zu nehmen.
Falls du noch mit TYPO3 11 oder 10 arbeitest und ELTS-Support hast, stehen auch dafür gepatchte Versionen bereit.
Weitere Informationen
Alle Details zu den Security Advisories findest du auf typo3.org:
Die offiziellen Release Notes gibt es hier:
BackDu hast eine Frage oder willst das Thema diskutieren?
Im Community Hub für TYPO3 kannst du dich mit anderen TYPO3 Anwendern austauschen. Und wenn du keine neuen Artikel verpassen willst: Der TYPO3 Newsletter kommt einmal im Monat, ohne Spam.
