TYPO3 12.4.46 — Was hat sich verändert?

Veröffentlicht: 9. Juni 2026
Update-Typ: Sicherheitsrelease

TYPO3 12.4.46 ist ein kritisches Sicherheitsupdate, das mehrere Schwachstellen in der Dateiverarbeitung, Zugriffskontrolle und Deserialisierung behebt. Dieses Release schließt 11 Sicherheitslücken, darunter Path-Traversal-Schwachstellen, Umgehungen von Berechtigungsprüfungen, offene Weiterleitungen und fehlerhafte Datei-Zugriffsprüfungen. Alle Nutzer sollten umgehend aktualisieren.

Sicherheitsfixes

  • Deserialisierungs-Schwachstellen behoben — Kritische Deserialisierungsfehler wurden geschlossen, die zu Remote Code Execution führen konnten.
  • Path-Traversal-Schutz verbessert — Path-Prefix-Verwechslung in isAllowedAbsPath behoben, um unbefugten Dateizugriff zu verhindern.
  • Datei-Zugriffsprüfung erweitert — Berechtigungsprüfungen vor der Anzeige von Dateimetadaten und beim Zugriff über FileDownloadController hinzugefügt.
  • Formulardatei-Erweiterungen gesichert — Korrekte Validierung von .form.yaml-Dateiendungen sowohl in der Formularverarbeitung als auch in der Ressourcenschicht implementiert.
  • Zwischenablage-Sicherheit erhöht — Zugriffsprüfungen für Datensätze und Dateien beim Hinzufügen zur Zwischenablage ergänzt.
  • Offene Weiterleitungslücke geschlossen — Verbesserte URL-Bereinigung in GeneralUtility::sanitizeLocalUrl verhindert böswillige Weiterleitungen.
  • Wiederherstellungs-Berechtigungen durchgesetzt — Berechtigungsprüfung beim Wiederherstellen gelöschter Datensätze implementiert.
  • Mount-Ordner-Schutz verstärkt — Destruktive Schreibzugriffe auf Mount-Ordner werden nun blockiert.
  • HTML-Sanitizer aktualisiert — Aktualisierung auf TYPO3/html-sanitizer Version 2.3.2 mit zusätzlichen Sicherheitsverbesserungen.

Backend & Administration

  • Site-Konfiguration abgesichert — f:format.raw aus dem returnUrl-Feld in der SiteConfiguration entfernt, um XSS-Schwachstellen zu verhindern.

Technische Änderungen

  • DeserializationService extrahiert — Deserialisierungslogik wurde in einen eigenen Service ausgelagert für bessere Wartbarkeit.
  • Symfony-Pakete aktualisiert — Alle Symfony-Abhängigkeiten auf die neuesten kompatiblen Versionen aktualisiert.
  • CI/CD-Verbesserungen — Migration von GitLab CI zu GitHub Actions und erweiterte Pre-Merge-Tests.