TYPO3 Release 12.4.37
In der Reihe TYPO3 Release-Notizen beleuchten wir regelmäßig die wichtigsten Bug-Fixes/Security-Issues oder wichtigen Änderungen in einem neuen Patchlevel-Release.
Diese Releases sind gemäß Roadmap bereits terminiert und erscheinen grob einmal im Monat.
Bugs haben je nach Projekt unterschiedliche Auswirkungen. Was in einem Projekt kritisch ist, kann in einem anderen kaum eine Rolle spielen. Unsere Gewichtung ist daher subjektiv und soll die Relevanz anderer Fixes nicht herabspielen.
Das aktuelle Release hat vor allem kritische Sicherheits-Fixes, siehe auch Security Advisories: https://typo3.org/help/security-advisories
Abseits davon gab es in den 22 Änderungen und eher kleinere Bugfixes sowie PHP 8.5 Kompatibilität.
Sicherheit
- Sehr wichtig(13.4.17) Einbindung der neuen Version von "enshrined/svg-sanitize", die Sicherheits-Fixes enthält für die Einbindung von Inline-SVG-Grafiken mit JavaScript-Code. Diese konnte entstehen bei Tags in SVG-Dateien mit unterschiedlicher Groß/kleinschreibung von XML-Attributen. Es kommt nur zum Tragen, wenn ein Projekt keine CSP-Regeln für Inline-JavaScript-Verbote definiert und dennoch SVG-Grafiken inline (!) in HTML eingebettet sind. Links auf SVGs als Grafik-Datei sind nicht betroffen.
- WissenswertTYPO3-CORE-SA-2025-017: Open Redirect in TYPO3 CMS: Bei Nutzung der Methode `GeneralUtility::sanitizeLocalUrl` war es möglich dass URLs, die an diese Methode übertragen wurden, nach der Verarbeitung eine Weiterleitung auf bösartige URLs durchführen konnte.
- TYPO3-CORE-SA-2025-018: Denial of Service in TYPO3 Bookmark Toolbar: Durch Admin-Aktionen im TYPO3-Backend könnten Bookmarks für andere User fehlerhaft gespeichert werden und dadurch das System für den Eigentümer desLesezeichens unnutzbar machen, bis diese Bookmarks durch Administratoren wieder gelöscht wurden.
- TYPO3-CORE-SA-2025-019: Insufficient Entropy in Password Generation: Die Erzeugung von Passwörtern mit der TYPO3-Crypto-API kann unter gewissen Regel-Umständen eine geringere Entropie als gewünscht besitzen. Das bedeutet, dass ein neu erstelltes (!) Passwort leichter zu raten sein könnte als vorgesehen.
- TYPO3-CORE-SA-2025-020: Information Disclosure via File Abstraction Layer: Einige Datei-Operationen (Upload, Umbenennung) in der Datei-Liste kann bei gewissen manipulierten Dateinamen dafür sorgen dass Pfad-Informationen des TYPO3-Backends "verraten" werden (Redakteursaccount notwendig).
- Sehr wichtigTYPO3-CORE-SA-2025-021: Broken Access Control in Backend AJAX Routes: Admin-Aktionen im Backend konnten aufgerufen werden, wenn man deren URLs und Parameter kannte. Hierdurch konnten ggf. Daten ausgelesen oder manipuliert werden. Hierfür war dennoch ein TYPO3-Backendzugang notwendig. TYPO3-Core-Module nutzen ein neues Attribut "inheritAccessFromModule", welche auch für eigene Backend-Extensions für korrekte Rechte-Checks nun genutzt werden sollte.
- Sehr wichtigTYPO3-CORE-SA-2025-022: Information Disclosure in Workspaces Module: Bei Nutzung der Workspace-Extension kann das Workspace-Modul über die Sicherheitslücke der defekten Acess Control via AJAX dazu genutzt werden um beliebige Inhalte in den Datenbanktabellen auszulesen. Hierfür war ein Backend-Redakteurszugang notwendig.
- Sehr wichtigTYPO3-CORE-SA-2025-023: Information Disclosure via CSV Download: Bei Nutzung des CSV-Datensatzdownload-Features können die Datenbankspalten (nicht Inhalte) von Tabellen ohne Zugriffsrechte ausgelesen werden. Hierfür war ein Backend-Redakteurszugang notwendig.