--- title: "TYPO3 14.3.3 — Was hat sich verändert?" url: "https://b13.com/de/release-digests/v14/typo3-1433-whats-changed" date: 2026-06-09 modified: 2026-06-09 lastUpdated: 2026-06-09 --- # TYPO3 14.3.3 — Was hat sich verändert? TYPO3 14.3.3 — Was hat sich verändert? ======================================= Veröffentlicht: 9. Juni 2026 Update-Typ: Sicherheitsrelease TYPO3 14.3.3 ist ein kritisches Sicherheitsupdate, das 14 Sicherheitslücken in verschiedenen Komponenten behebt, darunter Dateiverwaltung, Zugriffskontrolle, Deserialisierung und XSS-Prävention. Alle TYPO3 14.x-Nutzer sollten umgehend aktualisieren. Das Release enthält zudem mehrere Fehlerbehebungen für Backend, DataHandler und Frontend-Rendering. Sicherheitsfixes ---------------- - **Validierung von Form-YAML-Dateien** — Korrekte Prüfung von .form.yaml-Dateiendungen und -Suffixen verhindert unbefugten Zugriff auf Formulardefinitionen. - **Deserialisierungs-Schwachstellen behoben** — Schutz vor Deserialisierungs-Angriffen und unbefugtem Zugriff auf form\_definition über DataHandler verhindert Remote Code Execution. - **Datei- und Datensatz-Zugriffskontrolle verschärft** — Prüft Dateiberechtigungen vor Anzeige von Metadaten, validiert Zugriffe beim Hinzufügen zur Zwischenablage, bei Wiederherstellung gelöschter Datensätze und beim Verschieben von Datensätzen. - **Path-Traversal-Schutz** — Behebt Verwechslung von Pfad-Präfixen in isAllowedAbsPath zum Schutz vor Directory-Traversal-Angriffen. - **Dateidownload-Sicherheit** — Verhindert Downloads aus Fallback-Storage im FileDownloadController gegen unbefugten Dateizugriff. - **Mount-Ordner-Schutz** — Verweigert destruktive Schreibzugriffe auf gemountete Ordner zum Schutz kritischer Dateisystembereiche. - **XSS-Prävention** — Kodiert Suchergebnisse der Indexed Search im Frontend gegen Cross-Site-Scripting-Angriffe. - **Open Redirect behoben** — Schließt Open-Redirect-Schwachstelle in GeneralUtility::sanitizeLocalUrl. - **HTML-Sanitizer aktualisiert** — Hebt TYPO3/html-sanitizer auf v2.3.2 mit zusätzlichen Sicherheitsverbesserungen an. Editing & UX-Verbesserungen ------------------------------- - **Interne Beschreibung immer sichtbar** — Backend-Vorschau zeigt interne Beschreibungsfelder nun konsistent an. - **Einheitliche Titellänge** — Benutzereinstellung „Maximale Titellänge“ wird nun durchgängig in allen Backend-Ansichten angewendet. - **Eindeutige IDs für Multi-Upload-Felder** — Verwendet eindeutige IDs für Ressourcen-Pointer-Felder in Multi-Upload-Feldern zur Vermeidung von Konflikten. - **Optimierte Label-Verarbeitung** — Überspringt label\_alt-Verarbeitung, wenn formattedLabel\_userFunc gesetzt ist, für bessere Performance und Konfliktfreiheit. Backend & Administration ---------------------------- - **Site-Konfiguration abgesichert** — Entfernt f:format.raw aus SiteConfiguration returnUrl-Feld zum Schutz vor Injection-Angriffen. - **MenuProcessor titleField wiederhergestellt** — Stellt Unterstützung für titleField-Konfiguration im MenuProcessor für benutzerdefinierte Seitentitel wieder her. - **Konstanten-Editor Wrap-Typ korrigiert** — Behebt String-Splitting und Event-Binding für Konstanten-Editor-Typ „wrap“. - **TCA Select-Item-Gruppen-Positionierung** — Berücksichtigt Position „top“ in EMU::addTcaSelectItemGroup() für korrekte Sortierung von Item-Gruppen. - **Scheduler-Erweiterungen** — Fügt AfterTaskExecutionEvent für bessere Scheduler-Task-Integration hinzu und stellt SchedulerTaskRepository-Methoden für Abwärtskompatibilität wieder her. - **Workspace-Status-Anzeige** — Übergibt hasDiff-Parameter an korrekter Position an workspaceState() für präzise Diff-Anzeige. Technische Änderungen --------------------- - **Optimierung von Sprachpaket-Updates** — Vermeidet redundante Scans während Sprachpaket-Updates für schnellere Verarbeitung. - **Verbesserte Cache-Garbage-Collection** — Führt Cache-GC in Blöcken aus, um Speicherprobleme bei großen Installationen zu vermeiden. - **PageRepository-Initialisierung optimiert** — Vermeidet unnötige Datenbankabfrage in PageRepository->\_\_construct()->init() für bessere Performance. - **Translation-Service abgesichert** — Schützt getProperties()-Aufrufe mit instanceof-Check und gegen nicht-initialisierte Setup-Arrays zur Vermeidung von Exceptions. - **Dependency-Updates** — Aktualisiert symfony/\*-Pakete auf 7.4.13 und phpstan auf 2.2.2 für verbesserte Kompatibilität und Analyse. - **DateTime-Handling korrigiert** — Verhindert Exception bei Verwendung von BU::daysUntil mit DateTime-Objekten. - [TYPO3 14 herunterladen](https://get.typo3.org/version/14) - [Offizielle Release-Ankündigung](https://news.typo3.com/article/typo3-1433-and-13431-security-releases-published) - [Vollständiges Changelog](https://docs.typo3.org/c/typo3/cms-core/main/en-us/Changelog-14/Index.html)