TYPO3 Version 13.4.23: PPW Digitalagentur aus Köln

In der Reihe TYPO3 Release-Notizen beleuchten wir regelmäßig die wichtigsten Bug-Fixes/Security-Issues oder wichtigen Änderungen in einem neuen Patchlevel-Release. Diese Releases sind gemäß Roadmap bereits terminiert und erscheinen grob einmal im Monat.

Bugs haben je nach Projekt unterschiedliche Auswirkungen. Was in einem Projekt kritisch ist, kann in einem anderen kaum eine Rolle spielen. Unsere Gewichtung ist daher subjektiv und soll die Relevanz anderer Fixes nicht herabspielen.

Aktuelles Release

Das aktuelle Release ist ein Sicherheits-Release. Die Security-Advisories betreffen alle das Auslesen/Ausspähen/Verändern von Daten, auf die ein Backend-User keinen Zugriff haben sollte.

Ein gültiger Backend-Benutzer-Account ist Voraussetzung für die Ausnutzung dieser Lücken, das heißt Instanzen die mit nicht absolut vertrauenswürdigen Redakteuren arbeiten müssen dringend ein Update einspielen (auch vorige ELTS-Versionen sind betroffen).

Weitere relevante Änderungen sind eine Absicherung gegen versehentliche Passwort-Leaks in Stacktrace-Fehlermeldungen im Debugging-Kontext, ein Update der ISO-Country-Datenbank, Timeout-Definition für "exec()" Shell-Befehle, weitere PHP 8.5 Kompatibilität und einige Fixes in EXT:adminpanel.

Wichtig: Es gibt ein bekanntes Problem mit dem Sicherheitspatch vom Mail FilerSpooler (Regression). Dieser kann komplexere MIME-Strukturen in E-Mails (attachments, eingebundene Dateien, abstractParts) potentiell fälschlicherweise blockieren, wodurch die E-Mail dann nicht versendet wird. Ein Bugfix hierfür ist in Vorbereitung für ein Release am 20.01.2026, siehe https://review.typo3.org/c/Packages/TYPO3.CMS/+/92329. Standardmäßig nutzt TYPO3 den FileSpooler nicht, sondern Versand über SMTP bzw. lokales PHP / sendmail.

Insgesamt gab es 50 Änderungen.

Sicherheit

Sehr wichtigAdvisory https://typo3.org/security/advisory/typo3-core-sa-2026-001 - Das Erstellen von neuen FormEngine Datensätzen ermöglichte auch "default values" (TCEFORM.xxx) zu spezifizieren und persistieren, unabhängig davon ob Rechte für diese Felder auch wirklich existieren. Damit konnten potentiell nicht erwünschte Datensatzinhalte hinterlegt werden. Nun ist ein Rechte-Check vorgeschaltet, der diese Standardwerte nur annimmt wenn die passenden Rechte existieren.
Sehr wichtigAdvisory https://typo3.org/security/advisory/typo3-core-sa-2026-002 - sys_redirect Datensätze konnten Ressourcen auf dem Webserver für Backend-Benutzer mit Zugriff auf das Redirects-Modul zugänglich machen, für die womöglich keine Zugriffsrechte existierten, also auch beliebige Daten eingespielt und ausgespielt werden (z.B. Datei/Web-Mounts).
Sehr wichtigAdvisory https://typo3.org/security/advisory/typo3-core-sa-2026-003 - Backend-Benutzer auf Instanzen mit EXT:recycler konnten beliebige Datensätze unter Umgehung des Papierkorbs vollständig löschen (nicht nur "deleted=1" setzen, sondern dauerhaft entfernen)
WissenswertAdvisory https://typo3.org/security/advisory/typo3-core-sa-2026-004 - Falls E-Mails mit dem "FileSpool" Transport versendet wurden (nicht der Standard-Fall), konnten dessen serialisierte E-Maildaten potentiell Schadcode enthalten (der jedoch Dateizugriff auf dem Server benötigt), der durch Deserialisierung ausgeführt werden konnte.
Datenbank-Zugangsdaten in Fehlermeldungs-Stacktraces werden nun mit PHP-interner Maskierung vor versehentlicher Ausgabe weiter gesichert