TYPO3 14.3.3 — Was hat sich verändert?

Veröffentlicht: 9. Juni 2026
Update-Typ: Sicherheitsrelease

TYPO3 14.3.3 ist ein kritisches Sicherheitsupdate, das 14 Sicherheitslücken in verschiedenen Komponenten behebt, darunter Dateiverwaltung, Zugriffskontrolle, Deserialisierung und XSS-Prävention. Alle TYPO3 14.x-Nutzer sollten umgehend aktualisieren. Das Release enthält zudem mehrere Fehlerbehebungen für Backend, DataHandler und Frontend-Rendering.

Sicherheitsfixes

  • Validierung von Form-YAML-Dateien — Korrekte Prüfung von .form.yaml-Dateiendungen und -Suffixen verhindert unbefugten Zugriff auf Formulardefinitionen.
  • Deserialisierungs-Schwachstellen behoben — Schutz vor Deserialisierungs-Angriffen und unbefugtem Zugriff auf form_definition über DataHandler verhindert Remote Code Execution.
  • Datei- und Datensatz-Zugriffskontrolle verschärft — Prüft Dateiberechtigungen vor Anzeige von Metadaten, validiert Zugriffe beim Hinzufügen zur Zwischenablage, bei Wiederherstellung gelöschter Datensätze und beim Verschieben von Datensätzen.
  • Path-Traversal-Schutz — Behebt Verwechslung von Pfad-Präfixen in isAllowedAbsPath zum Schutz vor Directory-Traversal-Angriffen.
  • Dateidownload-Sicherheit — Verhindert Downloads aus Fallback-Storage im FileDownloadController gegen unbefugten Dateizugriff.
  • Mount-Ordner-Schutz — Verweigert destruktive Schreibzugriffe auf gemountete Ordner zum Schutz kritischer Dateisystembereiche.
  • XSS-Prävention — Kodiert Suchergebnisse der Indexed Search im Frontend gegen Cross-Site-Scripting-Angriffe.
  • Open Redirect behoben — Schließt Open-Redirect-Schwachstelle in GeneralUtility::sanitizeLocalUrl.
  • HTML-Sanitizer aktualisiert — Hebt TYPO3/html-sanitizer auf v2.3.2 mit zusätzlichen Sicherheitsverbesserungen an.

Editing & UX-Verbesserungen

  • Interne Beschreibung immer sichtbar — Backend-Vorschau zeigt interne Beschreibungsfelder nun konsistent an.
  • Einheitliche Titellänge — Benutzereinstellung „Maximale Titellänge“ wird nun durchgängig in allen Backend-Ansichten angewendet.
  • Eindeutige IDs für Multi-Upload-Felder — Verwendet eindeutige IDs für Ressourcen-Pointer-Felder in Multi-Upload-Feldern zur Vermeidung von Konflikten.
  • Optimierte Label-Verarbeitung — Überspringt label_alt-Verarbeitung, wenn formattedLabel_userFunc gesetzt ist, für bessere Performance und Konfliktfreiheit.

Backend & Administration

  • Site-Konfiguration abgesichert — Entfernt f:format.raw aus SiteConfiguration returnUrl-Feld zum Schutz vor Injection-Angriffen.
  • MenuProcessor titleField wiederhergestellt — Stellt Unterstützung für titleField-Konfiguration im MenuProcessor für benutzerdefinierte Seitentitel wieder her.
  • Konstanten-Editor Wrap-Typ korrigiert — Behebt String-Splitting und Event-Binding für Konstanten-Editor-Typ „wrap“.
  • TCA Select-Item-Gruppen-Positionierung — Berücksichtigt Position „top“ in EMU::addTcaSelectItemGroup() für korrekte Sortierung von Item-Gruppen.
  • Scheduler-Erweiterungen — Fügt AfterTaskExecutionEvent für bessere Scheduler-Task-Integration hinzu und stellt SchedulerTaskRepository-Methoden für Abwärtskompatibilität wieder her.
  • Workspace-Status-Anzeige — Übergibt hasDiff-Parameter an korrekter Position an workspaceState() für präzise Diff-Anzeige.

Technische Änderungen

  • Optimierung von Sprachpaket-Updates — Vermeidet redundante Scans während Sprachpaket-Updates für schnellere Verarbeitung.
  • Verbesserte Cache-Garbage-Collection — Führt Cache-GC in Blöcken aus, um Speicherprobleme bei großen Installationen zu vermeiden.
  • PageRepository-Initialisierung optimiert — Vermeidet unnötige Datenbankabfrage in PageRepository->__construct()->init() für bessere Performance.
  • Translation-Service abgesichert — Schützt getProperties()-Aufrufe mit instanceof-Check und gegen nicht-initialisierte Setup-Arrays zur Vermeidung von Exceptions.
  • Dependency-Updates — Aktualisiert symfony/*-Pakete auf 7.4.13 und phpstan auf 2.2.2 für verbesserte Kompatibilität und Analyse.
  • DateTime-Handling korrigiert — Verhindert Exception bei Verwendung von BU::daysUntil mit DateTime-Objekten.