TYPO3-Sicherheitshinweis: Mehrere verbreitete Extensions betroffen
Letzte Änderung:
Das TYPO3 Security Team hat mehrere Sicherheitshinweise zu häufig eingesetzten TYPO3-Erweiterungen veröffentlicht. Betroffen sind unter anderem Extensions, die auf vielen TYPO3-Websites produktiv im Einsatz sind – darunter News, Suche, Adressverwaltung, Frontend-Registrierung und Crawler-Funktionen.
Da Sicherheitslücken in TYPO3-Extensions ein erhebliches Risiko für Websites darstellen können, empfehlen wir eine zeitnahe Prüfung der installierten Erweiterungen und Versionsstände.
Diese TYPO3-Extensions sind betroffen
Laut den veröffentlichten Security Advisories sind folgende Drittanbieter-Extensions betroffen:
| Extension | Extension-Key | Art der Schwachstelle |
|---|---|---|
| Site Crawler | crawler | Remote Code Execution |
| Frontend User Registration | sf_register | Broken Access Control |
| News system | news | SQL Injection |
| Faceted Search | ke_search | mehrere Schwachstellen |
| Address List | tt_address | SQL Injection |
| Content Element Selector | ceselector | Remote Code Execution |
Die zugehörigen Hinweise wurden unter den Nummern TYPO3-EXT-SA-2026-008 bis TYPO3-EXT-SA-2026-013 veröffentlicht.
Warum ist eine Prüfung wichtig?
Einige der genannten Schwachstellen sind sicherheitskritisch. Je nach eingesetzter Extension und Konfiguration können Angreifer unter Umständen:
- unberechtigt auf Daten zugreifen,
- Sicherheitsmechanismen umgehen,
- SQL-Injections ausnutzen,
- oder im schlimmsten Fall eigenen Programmcode ausführen.
Gerade Extensions wie news, ke_search, tt_address oder crawler werden in vielen TYPO3-Projekten eingesetzt. Deshalb sollte nicht nur geprüft werden, ob eine betroffene Extension installiert ist, sondern auch, welche Version verwendet wird.
Was sollten TYPO3-Website-Betreiber jetzt tun?
Website-Betreiber sollten kurzfristig prüfen lassen:
- Ist eine der betroffenen Extensions installiert?
- Ist die installierte Version von der Sicherheitslücke betroffen?
- Gibt es bereits eine sichere Update-Version?
- Kann das Update ohne weitere Anpassungen eingespielt werden?
- Funktioniert die Website nach dem Update weiterhin korrekt?
Ein reines „Die Website läuft noch“ reicht in diesem Fall nicht aus. Viele Sicherheitslücken sind von außen nicht sichtbar, können aber dennoch ausgenutzt werden.
WACON prüft Ihre TYPO3-Website
Wir prüfen für unsere Kunden, ob eine der betroffenen Extensions auf der jeweiligen TYPO3-Website installiert ist. Falls notwendig, spielen wir die erforderlichen Sicherheitsupdates ein.
Unsere Prüfung umfasst:
- Abgleich der installierten Extensions mit den veröffentlichten Sicherheitshinweisen
- Prüfung der eingesetzten Versionsstände
- Einschätzung der konkreten Betroffenheit
- Einspielen der verfügbaren Sicherheitsupdates, sofern erforderlich
- kurze Rückmeldung zum Ergebnis
Wenn sich herausstellt, dass Ihre Website nicht betroffen ist, entstehen Ihnen keine Kosten.
Sollte ein Sicherheitsupdate notwendig sein, berechnen wir für Prüfung und Update 1 Stunde Aufwand.
Jetzt TYPO3-Sicherheitscheck durchführen lassen
Wenn Sie nicht sicher sind, ob Ihre TYPO3-Website betroffen ist, sollten Sie zeitnah handeln. Sicherheitsupdates sollten insbesondere bei öffentlich erreichbaren Websites nicht aufgeschoben werden.
Wir prüfen Ihre TYPO3-Installation und spielen notwendige Sicherheitsupdates ein.
Nehmen Sie gerne Kontakt mit uns auf – oder sprechen Sie uns direkt an, wenn Ihre TYPO3-Website von WACON betreut wird.