Zwei TYPO3-Extensions mit Sicherheitslücken: Was du jetzt tun solltest
Artikel vorlesen lassen
Heute hat das TYPO3-Team zwei neue Security Advisories veröffentlicht. Beide betreffen beliebte Extensions, die du vielleicht in deinen Projekten verwendest.
Die wichtigeren News zuerst: Base Excel mit kritischer Lücke
Die Extension "Base Excel" hat ein ernstes Problem. In allen Versionen bis 4.5.0 steckt eine Sicherheitslücke, die Angreifern erlaubt, Server-seitige Anfragen zu manipulieren. Das klingt technisch, bedeutet aber: Jemand könnte über deine Website auf interne Systeme zugreifen.
Der Grund ist ein veraltetes PHP-Paket namens "phpoffice/phpspreadsheet", das die Extension mitbringt. Solche gebündelten Pakete sind praktisch, können aber zum Problem werden, wenn sie nicht aktuell gehalten werden.
Was du tun musst: Update auf Version 5.1.0. Sofort. Das TYPO3-Team stuft diese Lücke als "High" ein - das passiert nicht oft.
Details findest du im offiziellen Security Advisory TYPO3-EXT-SA-2025-013.
Form to Database: XSS im Backend
Die zweite betroffene Extension heißt "Form to Database". Hier können böswillige Nutzer JavaScript-Code in das TYPO3-Backend einschleusen. Das ist weniger dramatisch als die Excel-Lücke, aber trotzdem nicht schön.
Das Problem: Die Extension prüft nicht ordentlich, was Nutzer eingeben, bevor es im Backend angezeigt wird.
Betroffene Versionen:
- 2.2.4 und älter
- 3.0.0 bis 3.2.1
- 4.0.0 bis 4.2.2
- 5.0.0 bis 5.0.1
Die Updates: Je nach deiner Version brauchst du 2.2.5, 3.2.2, 4.2.3 oder 5.0.2.
Alle Infos dazu stehen im Security Advisory TYPO3-EXT-SA-2025-012.
Wie du prüfst, ob du betroffen bist
Schau in deiner Extension-Liste nach "form_to_database" und "base_excel". Falls du eine der Extensions nutzt, check die Versionsnummer. Bei Composer-Setups hilft dir composer show weiter.
Falls du unsicher bist: Beide Extensions sind nicht Teil der Standard-TYPO3-Installation. Du musst sie also bewusst installiert haben.
Mein Tipp
Richte dir eine Benachrichtigung für die typo3-announce Mailingliste ein. Dort erfährst du als Erster von solchen Sicherheitsupdates. Ein paar Minuten Aufwand, die sich lohnen.
Sicherheit ist kein Luxus, sondern Pflicht. Heute die Extensions updaten ist besser als morgen Schadensbegrenzung betreiben.
ZurückDu hast eine Frage oder willst das Thema diskutieren?
Im Community Hub für TYPO3 kannst du dich mit anderen TYPO3 Anwendern austauschen. Und wenn du keine neuen Artikel verpassen willst: Der TYPO3 Newsletter kommt einmal im Monat, ohne Spam.
Hi, ich bin Wolfgang.
Seit 2006 arbeite ich mit TYPO3. Nicht in der Theorie, sondern in echten Projekten mit echten Deadlines. Die Probleme, die du gerade hast, hatte ich wahrscheinlich schon dreimal.
Irgendwann habe ich angefangen, mein Wissen in Videokurse zu packen. Nicht weil ich gerne vor der Kamera stehe, sondern weil ich dieselben Fragen immer wieder gehört habe. Mittlerweile sind es Hunderte Videos geworden. Jedes Einzelne entstand aus einer konkreten Frage aus einem konkreten Projekt.
Was mich von einem YouTube-Tutorial unterscheidet: Ich kenne nicht nur die Lösung, sondern auch den Kontext. Warum etwas so funktioniert. Wann es nicht funktioniert. Und welche Fehler du dir sparen kannst, weil ich sie schon gemacht habe.
Meine Teilnehmer nutzen mich als Sparringspartner. Nicht im Sinne von "ruf mich jederzeit an", sondern so: Du kommst mit einem konkreten Problem in die Live-Session, postest deine Frage in der Community oder schaust dir das passende Video an. Und bekommst eine Antwort, die funktioniert, weil sie aus der Praxis kommt.
Als Mitglied im TYPO3 Education & Certification Committee sorge ich dafür, dass die Zertifizierungsprüfungen auf dem aktuellen Stand bleiben. Was dort geprüft wird, fließt direkt in meine Kurse ein.