TYPO3 13.4.31 — Was hat sich verändert?

Veröffentlicht: 9. Juni 2026
Update-Typ: Sicherheitsrelease

TYPO3 13.4.31 ist eine kritische Sicherheitsveröffentlichung, die 13 Schwachstellen behebt, darunter Deserialisierungsfehler, Path-Traversal-Probleme, unberechtigte Datensatzoperationen und XSS-Schwachstellen. Alle TYPO3 13.4-Installationen sollten umgehend aktualisiert werden. Das Release enthält außerdem kleinere Bugfixes und Dependency-Updates.

Sicherheitsfixes

  • Deserialisierungs-Schwachstellen behoben — Kritische Fixes zur Verhinderung der Ausnutzung von Deserialisierungsfehlern, die zu Remote Code Execution führen könnten.
  • Path-Traversal-Schutz verbessert — Behebung von Pfadpräfix-Verwirrung in isAllowedAbsPath und korrekte .form.yaml-Dateierweiterungsprüfung zur Verhinderung unbefugten Dateizugriffs.
  • Unberechtigte Datensatzoperationen verhindert — Berechtigungsprüfungen für Zwischenablage-Operationen, Datensatzverschiebungen via DataHandler und Wiederherstellungsaktionen hinzugefügt.
  • Dateizugriffskontrollen verstärkt — Berechtigungsprüfungen vor Anzeige von Datei-Metadaten implementiert und Downloads aus Fallback-Storage im FileDownloadController verhindert.
  • Mount-Ordner-Schutz — Destruktive Schreibaktionen auf Mount-Ordnern unterbunden, um unberechtigte Dateimanipulation zu verhindern.
  • XSS-Schwachstellen behoben — Kodierung von Indexed-Search-Ergebnissen im Frontend-Rendering zur Verhinderung von Cross-Site-Scripting-Angriffen.
  • Open Redirection behoben — Open-Redirection-Schwachstelle in GeneralUtility::sanitizeLocalUrl korrigiert.
  • HTML-Sanitizer aktualisiert — TYPO3/html-sanitizer auf Version 2.3.2 angehoben für verbesserte Sicherheit.

Editing & UX-Verbesserungen

  • Site-Konfigurationssicherheit — f:format.raw beim SiteConfiguration returnUrl-Feld entfernt, um potenzielle XSS-Probleme zu vermeiden.

Backend & Administration

  • Cache-Garbage-Collection optimiert — Cache-GC läuft nun in Chunks für bessere Performance bei großen Cache-Tabellen.
  • Passwort-Zurücksetzen-Prüfung — Korrekte isEnabled()-Prüfung im ResetPasswordController hinzugefügt, um sicherzustellen, dass die Funktion nur bei Aktivierung verfügbar ist.

Technische Änderungen

  • TCA-Select-Item-Gruppierung korrigiert — Handhabung der „top“-Position in der EMU::addTcaSelectItemGroup()-Methode behoben.
  • Dependency-Updates — Symfony-Pakete auf LTS-Version 7.4.13 und PHPStan auf Version 2.2.2 aktualisiert.
  • Deserialization-Service extrahiert — DeserializationService aus PolymorphicDeserializer refaktoriert für bessere Code-Organisation.
  • Test-Infrastruktur verbessert — TTY/Non-Interactive-Erkennung in runTests.sh für bessere CI/CD-Kompatibilität hinzugefügt.