TYPO3 Release 13.4.31
In der Reihe TYPO3 Release-Notizen beleuchten wir regelmäßig die wichtigsten Bug-Fixes/Security-Issues oder wichtigen Änderungen in einem neuen Patchlevel-Release. Diese Releases sind gemäß Roadmap bereits terminiert und erscheinen grob einmal im Monat.
Bugs haben je nach Projekt unterschiedliche Auswirkungen. Was in einem Projekt kritisch ist, kann in einem anderen kaum eine Rolle spielen. Unsere Gewichtung ist daher subjektiv und soll die Relevanz anderer Fixes nicht herabspielen.
Aktuelles Release
Dies ist ein Security-Release. 13 Sicherheitslücken, alle für "vertrauensunwürdige Redaktion" relevant. Auch werden nun neuere Symfony-Versionen verwendet.
Weiterhin wurden kleinere Regression-Fixes für den Scheduler, Cache-Tag Collector für Site-Identifier und den MenuProcessor (titleField) eingebaut.
Insgesamt gab es 31 Änderungen.
Sicherheit
- Sehr wichtigDie Möglichkeit zum Backend-Password-Reset war auch an Stellen möglich, obwohl das UI dafür ausgeblendet wurde.
- Sehr wichtigTYPO3-CORE-SA-2026-008: EXT:form ermöglichte den redaktionellen Upload von speziell benannten YAML-Dateien die später als gültige Formulare genutzt werden konnten und somit bösartige Konfiguration enthalten konnten.
- WissenswertDer Parameter "returnUrl" im Template für die Site Configuration kann nicht mehr für potentielles XSS genutzt werden. Aufgrund Backend-CSP-Regeln lässt sich dies nicht ausnutzen und wird als regulärer Bug gehandhabt.
- WissenswertTYPO3-CORE-SA-2026-019: Weitere Absicherung der ".form.yaml" Dateiendung
- WissenswertTYPO3-CORE-SA-2026-015: Zugriff auf Meta-Daten von diversen AJAX-API-Routen könnte Daten ohne ausreichende Rechtechecks offenbaren, die Redakteuren eigentlich vorhenthalten wären.
- WissenswertTYPO3-CORE-SA-2026-014: Es konnten Datensätze in das TYPO3-Clipboard eingefügt werden, auf die der Redakteur eigentlich keine Leserechte haben sollte.
- WissenswertTYPO3-CORE-SA-2026-013: Zugriffsrechte auf Dateien konnten über den FAL fallback-Storage (uid 0) umgangen werden und z.B. Logdateien an eingeloggte Redakteure offenbaren (wenn Dateidownload erlaubt)
- WissenswertTYPO3-CORE-SA-2026-012: Via DataHandler konnten Datensätze auf eine andere Seite verschoben werden, ohne dass Schreibzugrff auf die Quellseite existierte.
- WissenswertTYPO3-CORE-SA-2026-011: Redakteure mit Zugriff auf den Papierkorb konnten Datensätze wieder herstellen, zu denen keinen Zugriffsrechte bestanden.
- Wissenswert!TYPO3-CORE-SA-2026-007: Redakteure konnten mit fehlendem Zugriffskontrollen auf gewisse FileMounts schreibend zugreifen
- WissenswertTYPO3-CORE-SA-2026-006: Der typo3/html-sanitizer war gegen zwei Formen von XSS-Angriff verwundbar.
- TYPO3-CORE-SA-2026-018: Deserialisierung von PHP-Objekten innerhalb des Caching-Frameworks ist möglich, wenn Angreifer Schreibzugriff auf gewisse Datenanktabellen (sys_log oder auch wiederum Cache-Datensätze) erlangen könnten.
- TYPO3-CORE-SA-2026-016: Die FAL-API kann in Zusammenhang mit speziellen Projektverzeichnisnamen ausgenutzt werden um Administrator-Usern das Anlegen von Storages zu ermöglichen, die auf Verzeichnisse ausserhalb des Projektverzeichnisses zeigen.
- TYPO3-CORE-SA-2026-010: Datensätze mit gewissen HTML-Steuersequenzen konnten in EXT:indexed_search derart verarbeitet werden, dass ein XSS-Angriffsvektor (ausgehend von Backend-Redakteuren) entstand.
- TYPO3-CORE-SA-2026-009: Bei der Nutzung von "GeneralUtility::sanitizeLocalUrl" konnten Extensions in gewissen Fällen ausgenutzt werden um Weiterleitungen an beliebige URL-Endpunkte (für Phishing-Angriffe gegen Redakteure) einzubinden.
Regression-Bugfixes
Backend: API
- WissenswertDie GarbageCollection Aufräumarbeiten nutzen nun segmentierte SQL-Abfragen, um bei sehr umfangreichen Cleanups keine SQL-Platzhaltermenge auszuschöpfen.
- Ausgliederung des sicherheitsrelevanten "DeserializationService" (aus dem PolymorphicDeserializer) in eine eigene Klasse
- Die Methode `ExtensionManagementUtility::addTcaSelectItemGroup` kann nun die Position `top` korrekt auswerten, wenn eine Gruppe initial noch nicht existiert
