---
title: "TYPO3 12.4.46 — Was hat sich verändert?"
url: "https://b13.com/de/release-digests/v12/typo3-12446-whats-changed"
date: 2026-06-09
modified: 2026-06-09
lastUpdated: 2026-06-09
---

# TYPO3 12.4.46 — Was hat sich verändert?

TYPO3 12.4.46 — Was hat sich verändert?
========================================

Veröffentlicht: 9. Juni 2026
Update-Typ: Sicherheitsrelease

TYPO3 12.4.46 ist ein kritisches Sicherheitsupdate, das mehrere Schwachstellen in der Dateiverarbeitung, Zugriffskontrolle und Deserialisierung behebt. Dieses Release schließt 11 Sicherheitslücken, darunter Path-Traversal-Schwachstellen, Umgehungen von Berechtigungsprüfungen, offene Weiterleitungen und fehlerhafte Datei-Zugriffsprüfungen. Alle Nutzer sollten umgehend aktualisieren.

Sicherheitsfixes
----------------

- **Deserialisierungs-Schwachstellen behoben** — Kritische Deserialisierungsfehler wurden geschlossen, die zu Remote Code Execution führen konnten.
- **Path-Traversal-Schutz verbessert** — Path-Prefix-Verwechslung in isAllowedAbsPath behoben, um unbefugten Dateizugriff zu verhindern.
- **Datei-Zugriffsprüfung erweitert** — Berechtigungsprüfungen vor der Anzeige von Dateimetadaten und beim Zugriff über FileDownloadController hinzugefügt.
- **Formulardatei-Erweiterungen gesichert** — Korrekte Validierung von .form.yaml-Dateiendungen sowohl in der Formularverarbeitung als auch in der Ressourcenschicht implementiert.
- **Zwischenablage-Sicherheit erhöht** — Zugriffsprüfungen für Datensätze und Dateien beim Hinzufügen zur Zwischenablage ergänzt.
- **Offene Weiterleitungslücke geschlossen** — Verbesserte URL-Bereinigung in GeneralUtility::sanitizeLocalUrl verhindert böswillige Weiterleitungen.
- **Wiederherstellungs-Berechtigungen durchgesetzt** — Berechtigungsprüfung beim Wiederherstellen gelöschter Datensätze implementiert.
- **Mount-Ordner-Schutz verstärkt** — Destruktive Schreibzugriffe auf Mount-Ordner werden nun blockiert.
- **HTML-Sanitizer aktualisiert** — Aktualisierung auf TYPO3/html-sanitizer Version 2.3.2 mit zusätzlichen Sicherheitsverbesserungen.

Backend & Administration
----------------------------

- **Site-Konfiguration abgesichert** — f:format.raw aus dem returnUrl-Feld in der SiteConfiguration entfernt, um XSS-Schwachstellen zu verhindern.

Technische Änderungen
---------------------

- **DeserializationService extrahiert** — Deserialisierungslogik wurde in einen eigenen Service ausgelagert für bessere Wartbarkeit.
- **Symfony-Pakete aktualisiert** — Alle Symfony-Abhängigkeiten auf die neuesten kompatiblen Versionen aktualisiert.
- **CI/CD-Verbesserungen** — Migration von GitLab CI zu GitHub Actions und erweiterte Pre-Merge-Tests.

- [TYPO3 12 herunterladen](https://get.typo3.org/version/12)
- [Offizielle Release-Ankündigung](https://news.typo3.com/article/typo3-1433-and-13431-security-releases-published)
- [Vollständiges Changelog](https://docs.typo3.org/c/typo3/cms-core/main/en-us/Changelog-12/Index.html)