TYPO3 14.3.5 und 13.4.33 veröffentlicht – ein Update schließt eine Sicherheitslücke

Letzte Änderung:

Am 14. Juli 2026 sind zwei neue TYPO3-Versionen erschienen: 14.3.5 LTS und 13.4.33 LTS. Beide sind Wartungsreleases – nur die Version 14.3.5 enthält zusätzlich ein Sicherheitsupdate. Wer TYPO3 14 einsetzt, sollte zeitnah aktualisieren.

Das Wichtigste in Kürze

Betroffen ist ausschließlich TYPO3 14 (konkret die Versionen 14.2.0 bis 14.3.4). Websites auf TYPO3 13 sind von der Sicherheitslücke nicht betroffen – für diese Reihe ist 13.4.33 lediglich ein reguläres Wartungsrelease ohne Sicherheitsbezug.

Worum geht es?

Die Sicherheitslücke betrifft das im TYPO3-Kern enthaltene Formular-Framework (die Extension „form"), mit dem sich Kontakt-, Bewerbungs- oder Upload-Formulare erstellen lassen. In den betroffenen Versionen wurde eine konfigurierte Einschränkung der erlaubten Dateitypen (die sogenannten allowedMimeTypes) serverseitig nicht zuverlässig durchgesetzt.

Im Klartext: Wenn ein Formular ein Datei- oder Bild-Upload-Feld enthielt, das eigentlich nur bestimmte Dateiarten zulassen sollte, konnten Besucher unter Umständen auch andere Dateitypen hochladen. Das Hochladen ausführbarer PHP-Dateien war dabei nicht möglich – das Risiko wird vom TYPO3-Team entsprechend als mittel eingestuft. Trotzdem handelt es sich um eine Schwachstelle, die behoben werden sollte.

Was ist zu tun?

Betreiben Sie Ihre Website über einen entsprechenden Wartungsvertrag von WACON, müssen Sie nichts tun. Das Sicherheitsupdate wird dann von uns kostenlos eingespielt. Ohne Wartungsvertrag können übernehmen wir das Einspielen der neuen Version, prüfen anschließend die Funktion Ihrer Formulare und dokumentieren die Aktualisierung für Sie. Der Aufwand liegt bei 1 Std. zu dem jeweiligen Stundensatz.

Möchten Sie das Update selbst durchführen, finden Sie hier eine Anleitung.