Das Wichtigste in Kürze
- Am 9. Juni 2026 hat das TYPO3-Team 14 Sicherheitshinweise veröffentlicht, 5 davon mit Stufe „hoch".
- Die meisten Lücken kann nur ein eingeloggter Backend-Nutzer ausnutzen — kein anonymer Angreifer aus dem Netz.
- Die wichtigere Frage ist nicht die einzelne Lücke. Sie lautet: Bekommt deine TYPO3-Version überhaupt noch Updates?
- Der Fix: Update auf 13.4.31 oder 14.3.3 (kostenlose LTS) bzw. 12.4.46 / 11.5.51 / 10.4.57 (kostenpflichtige ELTS).
- Wer auf v11 oder älter ohne ELTS-Vertrag läuft, hat am 9. Juni keinen Fix bekommen. Das ist das eigentliche Risiko.
Was am 9. Juni 2026 wirklich passiert ist
Das TYPO3-Security-Team hat an einem Tag 14 Sicherheitshinweise veröffentlicht. Dazu fünf Release-Pakete: 14.3.3, 13.4.31 und die ELTS-Versionen 12.4.46, 11.5.51 und 10.4.57.
Das klingt nach einem großen Tag. Ist es auch. Aber „14 Lücken" ist eine Schlagzeile, kein Lagebild.
Fünf der Hinweise tragen die Stufe „hoch", der Rest „mittel" oder „niedrig". Betroffen sind alle gepflegten Versionsstränge von v10 bis v14. Heißt im Klartext: Es ist egal, wie alt deine Installation ist — gemeint bist du wahrscheinlich auch.
Bevor du jetzt das Wochenende absagst: Schauen wir, wer diese Lücken überhaupt ausnutzen kann.
Die gute Nachricht zuerst: Wer kann das ausnutzen?
Die meisten dieser Lücken sind Broken Access Control (fehlende Rechteprüfung im Backend). Das bedeutet: Ein Angreifer braucht zuerst einen gültigen Backend-Zugang.
Ein Beispiel ist TYPO3-CORE-SA-2026-008 im Form Framework (das Formular-Modul). Ein Redakteur mit Schreibrechten auf Dateien konnte eine präparierte Formular-Definition hochladen und darüber eigene Admin-Konten anlegen. Schwerwiegend — aber eben kein Zugriff von außen ohne Login.
Das verschiebt die Bewertung. Wenn dein Backend nur von wenigen, vertrauenswürdigen Redakteuren genutzt wird, ist das Sofort-Risiko geringer als die Schlagzeile vermuten lässt.
Trotzdem gilt: Updaten musst du. Eine Lücke, die heute einen Login braucht, ist morgen ein Baustein in einer Angriffskette. Und ein offener Redirect (TYPO3-CORE-SA-2026-009) lässt sich auch ohne Login für Phishing missbrauchen.
Die fünf „hohen" Themen — in Klartext
Du musst die einzelnen Kennungen nicht auswendig können. Aber die Muster helfen dir einzuschätzen, was dich betrifft.
| Bereich | Was passieren kann | Voraussetzung |
|---|---|---|
| File Abstraction Layer (Dateiverwaltung) | Schreibzugriff auf geschützte Ordner | Backend-Login |
| Form Framework (Formular-Modul) | Eigene Admin-Konten über präparierte Formulare | Backend-Login mit Dateirechten |
| Core API (Deserialisierung) | Einschleusen von PHP-Objekten über den Cache-Speicher | Schreibzugriff auf den Speicher |
| Open Redirect | Weiterleitung auf Phishing-Seiten | kein Login nötig |
| HTML Sanitizer (XSS-Schutz) | Umgehung des Cross-Site-Scripting-Schutzes | spezielle Konfiguration aktiv |
Die volle Liste mit genauer Einstufung steht auf der offiziellen Advisory-Seite (siehe Quellen). Da gehörst du vor jedem Update einmal durch.
Das eigentliche Risiko ist nicht die Lücke — es ist deine Version
Hier liegt der Punkt, den die meisten Meldungen übersehen.
Seit dem 30. April 2026 ist der kostenlose Support für TYPO3 v12 beendet. v11 und v10 bekommen ohnehin nur noch über ELTS (Extended Long Term Support — kostenpflichtige Verlängerung) Sicherheitsupdates.
Das heißt konkret: Läufst du auf v13 oder v14, hast du am 9. Juni einen kostenlosen Fix bekommen. Läufst du auf v12 oder älter ohne ELTS-Vertrag, hast du gar keinen bekommen. Deine Lücken bleiben offen.
Genau das ist die gefährliche Situation. Nicht die einzelne Schwachstelle, sondern eine Installation, die strukturell aus dem Update-Fenster gefallen ist. Jede künftige Lücke trifft dich dann ungebremst.
Wer eine erklärungsbedürftige Industrie-Website betreibt, kann sich das schwer leisten. Da hängt Haftung dran, und da hängt Vertrauen dran.
Aus der Praxis: ein Jahr ohne ein einziges Update
Vor Kurzem kam ein Industriekunde zu mir, dessen Seite noch auf TYPO3 11 lief. Der kostenlose Support für diese Version ist seit Oktober 2024 vorbei. Heißt: über ein Jahr lang kein einziges Sicherheitsupdate.
Nicht aus Nachlässigkeit. Niemand hatte ihm gesagt, dass seine Version aus dem Update-Fenster gefallen war.
Genau das ist das Muster, das ich immer wieder sehe. Nicht die spektakuläre Lücke ist das Problem, sondern die leise: eine Version, die niemand mehr pflegt.
Dein Handlungsplan in vier Schritten
- Version feststellen. Im Backend unter „System → Konfiguration" oder über die Datei-Version. Notiere die genaue Nummer (z. B. 12.4.40).
- Advisory-Seite lesen. Geh die offiziellen Hinweise vom 9. Juni durch und markiere, welche Module du nutzt (Formulare, Dateiverwaltung, Indexed Search).
- Auf einer Staging-Umgebung testen (eine Kopie deiner Seite zum Ausprobieren). Erst dort updaten, prüfen, dann live. Die Security-Releases brauchen keine Datenbank-Änderung.
- Live updaten auf die passende Fix-Version: 13.4.31 oder 14.3.3 (kostenlos), bzw. 12.4.46 / 11.5.51 / 10.4.57 (ELTS).
Steckst du auf v12 oder älter fest, kommt ein fünfter Punkt dazu: die Migrationsfrage. ELTS verlängert die Frist, löst aber nicht das Grundproblem. Ein Upgrade auf v13 LTS bringt dich zurück in den kostenlosen Update-Fluss.
So prüfst du in fünf Minuten, ob du dran bist
Geh die folgenden Fragen durch:
- Welche TYPO3-Version läuft? Unter 13.4.31 / 14.3.3 ohne ELTS für ältere Stränge? Dann bist du betroffen.
- Wer hat Backend-Zugang? Je mehr Redakteure, desto höher das Risiko bei den Access-Control-Lücken.
- Nutzt du das Formular-Modul oder die Dateiverwaltung? Dann sind zwei der „hohen" Lücken für dich relevant.
- Hast du eine Staging-Umgebung? Wenn nein, ist das der erste Hebel — nicht erst beim nächsten Notfall.
- Wann war dein letztes Sicherheitsupdate? Liegt das Monate zurück, ist nicht nur dieser Juni dein Thema.
Zwei oder mehr unklare Antworten? Dann ist jetzt der richtige Moment, das System einmal sauber durchzugehen.
Nächster Schritt
Eine Frage an die Technik-Verantwortlichen: Weißt du sicher, auf welcher TYPO3-Version du läufst — und ob sie am 9. Juni einen Fix bekommen hat?
Häufige Fragen (FAQ)
Wie viele TYPO3-Sicherheitslücken wurden im Juni 2026 veröffentlicht?
Am 9. Juni 2026 hat das TYPO3-Security-Team 14 Sicherheitshinweise veröffentlicht. Fünf davon sind mit der Stufe „hoch" eingestuft, die übrigen mit „mittel" oder „niedrig". Betroffen sind alle gepflegten Versionen von v10 bis v14.
Auf welche TYPO3-Version muss ich aktualisieren?
Auf 13.4.31 (LTS) oder 14.3.3 (LTS), wenn du diese Stränge nutzt. Für ältere Versionen gibt es Fixes nur über ELTS: 12.4.46, 11.5.51 oder 10.4.57. ELTS ist eine kostenpflichtige Support-Verlängerung.
Bin ich auch ohne Backend-Zugang für Angreifer gefährdet?
Bei den meisten Lücken nicht direkt: Sie setzen einen eingeloggten Backend-Nutzer voraus (Broken Access Control). Ausnahmen wie der Open Redirect funktionieren ohne Login. Aktualisieren solltest du in jedem Fall.
Was ist, wenn ich noch auf TYPO3 v11 oder v12 laufe?
Dann hast du ohne ELTS-Vertrag am 9. Juni keinen Fix bekommen. ELTS verlängert die Frist, das Grundproblem bleibt. Ein Upgrade auf v13 LTS bringt dich zurück in den kostenlosen Update-Fluss.