TYPO3 14.0.2, 13.4.23 und 12.4.41 sind erschienen und schließen mehrere Sicherheitslücken
Am 13. Januar 2026 hat das TYPO3-Team neue Security Releases veröffentlicht. Betroffen sind alle aktuell unterstützten Versionen: TYPO3 14.0.2, 13.4.23 LTS, 12.4.41 LTS sowie die ELTS-Versionen 11.5.49 und 10.4.55.
Vier Sicherheitslücken wurden geschlossen. Drei davon betreffen fehlerhafte Zugriffskontrollen im Backend, eine vierte ein Deserialisierungs-Problem im Mail-Spool.
Die vier Security Advisories im Überblick
TYPO3-CORE-SA-2026-001: Broken Access Control im Edit Document Controller
Backend-Nutzer konnten über den defVals-Parameter Zugriffskontrollen umgehen und Daten in geschützte Felder einfügen, für die sie eigentlich keine Berechtigung hatten. Betroffen waren alle Versionen von 10.0.0 bis 14.0.1. Der Schweregrad wird als mittel eingestuft.
TYPO3-CORE-SA-2026-002: Broken Access Control im Redirects-Modul
Backend-Nutzer mit Zugriff auf das Redirects-Modul konnten alle Redirect-Einträge lesen und ändern, unabhängig von ihren File-Mounts oder Web-Mounts. Das ermöglichte das Anlegen von Redirects zu beliebigen URLs und damit potenzielle Phishing-Angriffe. Auch hier: mittlerer Schweregrad.
TYPO3-CORE-SA-2026-003: Broken Access Control im Recycler-Modul
Das ist die kritischste der vier Lücken. Backend-Nutzer mit Zugriff auf das Recycler-Modul konnten beliebige Daten aus jeder TCA-Tabelle löschen, ohne die entsprechenden Berechtigungen zu haben. Im schlimmsten Fall konnten Angreifer damit ganze Website-Inhalte zerstören und die Seite unbrauchbar machen. Schweregrad: hoch.
TYPO3-CORE-SA-2026-004: Insecure Deserialization im Mailer File Spool
Lokale Nutzer mit Schreibzugriff auf das Mail-Spool-Verzeichnis konnten manipulierte Dateien einschleusen, die beim Ausführen des mailer:spool:send-Befehls zu Remote Code Execution führten. Das Problem betrifft nur Installationen mit aktiviertem File-Spool-Transport. Schweregrad: mittel.
Was jetzt zu tun ist
Die Updates lassen sich wie gewohnt einspielen. Für diese Maintenance-Releases sind keine zusätzlichen Datenbankupdates erforderlich.
Wie dringend das Update ist, hängt von deiner Installation ab. Wenn du mehrere Backend-Nutzer mit unterschiedlichen Berechtigungsstufen hast, solltest du zeitnah updaten. Besonders die Recycler-Lücke (SA-2026-003) ist ernst zu nehmen.
Falls du noch mit TYPO3 11 oder 10 arbeitest und ELTS-Support hast, stehen auch dafür gepatchte Versionen bereit.
Weitere Informationen
Alle Details zu den Security Advisories findest du auf typo3.org:
Die offiziellen Release Notes gibt es hier:
Alle technischen Details findest man in den offiziellen Security Advisories auf typo3.org.
