Zwei TYPO3-Extensions mit Sicherheitslücken: Was du jetzt tun solltest
Artikel vorlesen lassen
Heute hat das TYPO3-Team zwei neue Security Advisories veröffentlicht. Beide betreffen beliebte Extensions, die du vielleicht in deinen Projekten verwendest.
Die wichtigeren News zuerst: Base Excel mit kritischer Lücke
Die Extension "Base Excel" hat ein ernstes Problem. In allen Versionen bis 4.5.0 steckt eine Sicherheitslücke, die Angreifern erlaubt, Server-seitige Anfragen zu manipulieren. Das klingt technisch, bedeutet aber: Jemand könnte über deine Website auf interne Systeme zugreifen.
Der Grund ist ein veraltetes PHP-Paket namens "phpoffice/phpspreadsheet", das die Extension mitbringt. Solche gebündelten Pakete sind praktisch, können aber zum Problem werden, wenn sie nicht aktuell gehalten werden.
Was du tun musst: Update auf Version 5.1.0. Sofort. Das TYPO3-Team stuft diese Lücke als "High" ein - das passiert nicht oft.
Details findest du im offiziellen Security Advisory TYPO3-EXT-SA-2025-013.
Form to Database: XSS im Backend
Die zweite betroffene Extension heißt "Form to Database". Hier können böswillige Nutzer JavaScript-Code in das TYPO3-Backend einschleusen. Das ist weniger dramatisch als die Excel-Lücke, aber trotzdem nicht schön.
Das Problem: Die Extension prüft nicht ordentlich, was Nutzer eingeben, bevor es im Backend angezeigt wird.
Betroffene Versionen:
- 2.2.4 und älter
- 3.0.0 bis 3.2.1
- 4.0.0 bis 4.2.2
- 5.0.0 bis 5.0.1
Die Updates: Je nach deiner Version brauchst du 2.2.5, 3.2.2, 4.2.3 oder 5.0.2.
Alle Infos dazu stehen im Security Advisory TYPO3-EXT-SA-2025-012.
Wie du prüfst, ob du betroffen bist
Schau in deiner Extension-Liste nach "form_to_database" und "base_excel". Falls du eine der Extensions nutzt, check die Versionsnummer. Bei Composer-Setups hilft dir composer show weiter.
Falls du unsicher bist: Beide Extensions sind nicht Teil der Standard-TYPO3-Installation. Du musst sie also bewusst installiert haben.
Mein Tipp
Richte dir eine Benachrichtigung für die typo3-announce Mailingliste ein. Dort erfährst du als Erster von solchen Sicherheitsupdates. Ein paar Minuten Aufwand, die sich lohnen.
Sicherheit ist kein Luxus, sondern Pflicht. Heute die Extensions updaten ist besser als morgen Schadensbegrenzung betreiben.
ZurückKommentare unter Artikeln sind deaktiviert. Wenn du eine Frage oder Ergänzung hast, schreib mir bitte eine E-Mail.
Wer schreibt hier?
Hi, ich bin Wolfgang.
Seit 2006 tauche ich tief in die faszinierende Welt von TYPO3 ein – es ist nicht nur mein Beruf, sondern auch meine Leidenschaft. Mein Weg führte mich durch unzählige Projekte, und ich habe Hunderte von professionellen Videoanleitungen erstellt, die sich auf TYPO3 und seine Erweiterungen konzentrieren. Ich liebe es, komplexe Themen zu entwirren und in leicht verständliche Konzepte zu verwandeln, was sich auch in meinen Schulungen und Seminaren widerspiegelt.
Als aktives Mitglied im TYPO3 Education Committee setze ich mich dafür ein, dass die Prüfungsfragen für den TYPO3 CMS Certified Integrator stets aktuell und herausfordernd bleiben.
Meine Leidenschaft endet aber nicht am Bildschirm. Wenn ich nicht gerade in die Tiefen von TYPO3 eintauche, findest du mich oft auf meinem Rad, während ich die malerischen Wege am Bodensee erkunde. Diese Ausflüge ins Freie sind mein perfekter Ausgleich – sie halten meinen Geist frisch und liefern mir immer wieder neue Ideen.