--- title: "TYPO3 13.4.31 — Was hat sich verändert?" url: "https://b13.com/de/release-digests/v13/typo3-13431-whats-changed" date: 2026-06-09 modified: 2026-06-09 lastUpdated: 2026-06-09 --- # TYPO3 13.4.31 — Was hat sich verändert? TYPO3 13.4.31 — Was hat sich verändert? ======================================== Veröffentlicht: 9. Juni 2026 Update-Typ: Sicherheitsrelease TYPO3 13.4.31 ist eine kritische Sicherheitsveröffentlichung, die 13 Schwachstellen behebt, darunter Deserialisierungsfehler, Path-Traversal-Probleme, unberechtigte Datensatzoperationen und XSS-Schwachstellen. Alle TYPO3 13.4-Installationen sollten umgehend aktualisiert werden. Das Release enthält außerdem kleinere Bugfixes und Dependency-Updates. Sicherheitsfixes ---------------- - **Deserialisierungs-Schwachstellen behoben** — Kritische Fixes zur Verhinderung der Ausnutzung von Deserialisierungsfehlern, die zu Remote Code Execution führen könnten. - **Path-Traversal-Schutz verbessert** — Behebung von Pfadpräfix-Verwirrung in isAllowedAbsPath und korrekte .form.yaml-Dateierweiterungsprüfung zur Verhinderung unbefugten Dateizugriffs. - **Unberechtigte Datensatzoperationen verhindert** — Berechtigungsprüfungen für Zwischenablage-Operationen, Datensatzverschiebungen via DataHandler und Wiederherstellungsaktionen hinzugefügt. - **Dateizugriffskontrollen verstärkt** — Berechtigungsprüfungen vor Anzeige von Datei-Metadaten implementiert und Downloads aus Fallback-Storage im FileDownloadController verhindert. - **Mount-Ordner-Schutz** — Destruktive Schreibaktionen auf Mount-Ordnern unterbunden, um unberechtigte Dateimanipulation zu verhindern. - **XSS-Schwachstellen behoben** — Kodierung von Indexed-Search-Ergebnissen im Frontend-Rendering zur Verhinderung von Cross-Site-Scripting-Angriffen. - **Open Redirection behoben** — Open-Redirection-Schwachstelle in GeneralUtility::sanitizeLocalUrl korrigiert. - **HTML-Sanitizer aktualisiert** — TYPO3/html-sanitizer auf Version 2.3.2 angehoben für verbesserte Sicherheit. Editing & UX-Verbesserungen ------------------------------- - **Site-Konfigurationssicherheit** — f:format.raw beim SiteConfiguration returnUrl-Feld entfernt, um potenzielle XSS-Probleme zu vermeiden. Backend & Administration ---------------------------- - **Cache-Garbage-Collection optimiert** — Cache-GC läuft nun in Chunks für bessere Performance bei großen Cache-Tabellen. - **Passwort-Zurücksetzen-Prüfung** — Korrekte isEnabled()-Prüfung im ResetPasswordController hinzugefügt, um sicherzustellen, dass die Funktion nur bei Aktivierung verfügbar ist. Technische Änderungen --------------------- - **TCA-Select-Item-Gruppierung korrigiert** — Handhabung der „top“-Position in der EMU::addTcaSelectItemGroup()-Methode behoben. - **Dependency-Updates** — Symfony-Pakete auf LTS-Version 7.4.13 und PHPStan auf Version 2.2.2 aktualisiert. - **Deserialization-Service extrahiert** — DeserializationService aus PolymorphicDeserializer refaktoriert für bessere Code-Organisation. - **Test-Infrastruktur verbessert** — TTY/Non-Interactive-Erkennung in runTests.sh für bessere CI/CD-Kompatibilität hinzugefügt. - [TYPO3 13 herunterladen](https://get.typo3.org/version/13) - [Offizielle Release-Ankündigung](https://news.typo3.com/article/typo3-1433-and-13431-security-releases-published) - [Vollständiges Changelog](https://docs.typo3.org/c/typo3/cms-core/main/en-us/Changelog-13/Index.html)