Kai Ole Hartwig — Blog
18 Min. Lesezeit
Mittel
Von

TYPO3 14.3.2 und 13.4.30 — Maintenance-Releases mit Symfony- und Composer-Constraint-Raise

26. Mai 2026. Das TYPO3-Core-Team hat zwei Maintenance-Releases parallel veröffentlicht: 14.3.2 als LTS-Fortschreibung der 14er-Linie und 13.4.30 für die 13er-LTS. Beide tragen reine Bugfix- und Wartungsänderungen; die offizielle News-Meldung klassifiziert sie ausdrücklich als „maintenance releases only". Es gibt kein dediziertes Core-Security-Advisory (SA-CORE-2026-*) in diesem Zyklus.

Hinweis für meine Kunden: Ihre Installationen haben die Updates bereits automatisch über meine Continuous-Deployment-Pipeline erhalten — 14.3.2 auf den 14er-Stacks, 13.4.30 auf den LTS-Stacks. Caches sind geflüsht, Smoketests gelaufen. Kein Handlungsbedarf Ihrerseits.

Der inhaltlich umfangreichste Commit hebt am 25.05. (einen Tag vor Release) vier symfony/*-Pakete sowie composer/composer als Devdep auf neue Mindest-Constraints; im Commit-Message listet der Maintainer explizit neun zugrundeliegende CVEs (mailer, mime, routing, yaml, transitiv cache, plus composer/composer). Dazu kommen eine npm-Devdep-Sanierung am Release-Tag, eine Site-aware Cache-Tag-Collection, eine MD5-Hinweis-Bereinigung in der Install-Tool-Alert-Mail und in 14.3.2 zusätzlich ein Live-Search-Detail, eine Fluid-CLI-Erweiterung und drei Doku-Korrekturen.

Aufsicht-Stillleben auf matter dunkler Schieferfläche als Maintenance-Bench eines CMS-Operators: zwei cremefarbene Wartungs-Dossiers mit Etiketten 14.3.2 und 13.4.30, quer darüber ein brünierter Messing-Schlüssel mit Walnussgriff; links daneben ein aufgeschlagenes Dependency-Hauptbuch, in dem in einer Zeile ein einzelner Tropfen tief gesättigte Oxblood-Tinte sitzt — die markierte transitive Dependency, die diesen Maintenance-Drop ausgelöst hat. Rechts oben eine brünierte Messing-Lupe im Negativraum.
AI-generated · gpt-image 2.0

TL;DR — die 90-Sekunden-Zusammenfassung

Zwei parallele Maintenance-Releases, kein Core-Security-Advisory, aber ein Symfony-/Composer-Constraint-Raise, dessen Commit-Message neun zugrundeliegende CVEs benennt.

FrageAntwort
Betroffen?Alle Betreiber von TYPO3 14.3.x-LTS und 13.4.x-LTS. Empfohlene Sprungversionen: 14.3.2 bzw. 13.4.30.
Was ändert sich?Symfony-Pakete mailer, mime, routing, yaml werden in composer.json von ^7.4.8 auf ^7.4.12 angehoben; symfony/cache wandert transitiv mit. Devdep composer/composer von ^2.9.7 auf ^2.9.8. Plus npm-Devdep-Sanierung, Site-aware Cache-Tag-Collection, MD5-Cleanup.
Sofortmaßnahme?Bei mir: keine — die Pipeline hat das Update bereits ausgerollt. Für selbst betriebene Installationen: composer update typo3/cms-* --with-dependencies plus einmal Cache löschen.
Empfehlung?Wer Continuous Deployment fährt, hat das Update im nächsten regulären Pipeline-Lauf. Wer Wartungsfenster fährt, sortiert es ins nächste reguläre Fenster ein. Kein Notfall-Rollout.
Was steht NICHT im Update?Die Symfony-Mai-Disclosure-Welle vom 20.05. (CVE-2026-46626 SymfonyRuntime, CVE-2026-45075 IsGranted-HEAD-Bypass, CVE-2026-45071 DomCrawler-XXE, CVE-2026-45072 WebProfiler-XSS) ist im Commit-Message dieses Drops nicht explizit referenziert. Und: TYPO3 nutzt Fluid, nicht Twig — die parallele Twig-Sandbox-Familie 3.26.0 betrifft den TYPO3-Core nicht.

Drei Sätze für Betreiber: Das Update ist im Standard-Pipeline-Lauf richtig aufgehoben — wer wie ich auf Continuous Deployment fährt, lässt es regulär durch die Pipeline laufen, ohne Sonder-Wartungsfenster. Wer den genauen CVE-Bezug seines Composer-Resolve sehen will, hat das mit composer update typo3/cms-* --with-dependencies und einem nachgeschalteten composer show symfony/mailer symfony/mime symfony/routing symfony/yaml symfony/cache composer/composer schwarz auf weiß. Die npm-Devdep-Sanierung im Core ist guter Anlass, ein npm audit --omit=dev über die eigene Sitepackage-Toolchain mitlaufen zu lassen.

Worum es bei diesen Releases geht

TYPO3 14.3.2 ist die zweite Wartungs-Iteration der 14.3-LTS-Linie nach 14.3.1 vom 12. Mai 2026. 13.4.30 ist der dreißigste Maintenance-Drop der laufenden 13.4-LTS und führt die Reihe vom 12.05. (13.4.29) fort. Beide Releases sind am selben Tag erschienen (26.05.2026); das gemeinsame TYPO3-News-Ticket nennt sie als „maintenance releases only" und vermerkt explizit: keine Datenbank-Updates nötig, ggf. Caches leeren.

Wichtig zur Einordnung: weder die offizielle TYPO3-News-Seite noch die Release-Notes nennen eine eigene SA-CORE-2026-*-Advisory-Nummer oder einen Security-Bezug. Der Commit-Message des Symfony-Raise listet die zugrundeliegenden CVEs zwar im Klartext (siehe Sektion „Was hat sich an der Sicherheit geändert" unten), aber die TYPO3-Außenkommunikation behandelt sie als reguläre Dependency-Pflege. Ich folge dieser Sprache in diesem Post: das ist ein Maintenance-Drop, kein Notfall-Patch, und gehört in den normalen Pipeline-Lauf, nicht ins Wochenend-Sonderfenster.

Wer derzeit auf 14.3.1 oder 13.4.29 läuft, bekommt mit dem Update keine Datenbank-Migration — der Upgrade-Pfad ist composer update typo3/cms-* --with-dependencies plus einmal Cache löschen. Wer auf 14.3.0 oder 13.4.28 oder älter sitzt, holt den Roll-up im selben Pipeline-Lauf mit — vor allem wegen der Memory-Limit-Empfehlung aus 14.3.1 (256 MB Minimum, 512 MB empfohlen) und der jetzt mitgehobenen Symfony-Constraints.

TYPO3 14.3.2 — die Änderungen im Detail

Die 14.3.2 enthält zwölf Commits seit 14.3.1 (inklusive Release- und Version-Bump-Commit). Wir gehen jeden Eintrag durch.

Symfony- und Composer-Constraint-Raise (TASK, Kern-Commit dieses Releases)

Commit a6aede1e839 (25.05.2026, Oliver Hader) hebt die Mindest-Constraints von vier symfony/*-Paketen sowie composer/composer (Devdep) in der composer.json des Cores. Der Maintainer dokumentiert im Commit-Message explizit die Pakete, die neuen Mindest­stände und die zugrundeliegenden CVEs (siehe Sektion „Was hat sich an der Sicherheit geändert" weiter unten für die vollständige Liste).

Operativ heißt das: nach composer update typo3/cms-* --with-dependencies sitzt unter TYPO3 14.3.2 mindestens die ^7.4.12-Linie der Pakete symfony/mailer, symfony/mime, symfony/routing, symfony/yaml, und Composer als Devdep ist auf ^2.9.8. Andere Symfony-Komponenten (http-foundation, http-kernel, console, dependency-injection und weitere) bleiben in der composer.json auf ihrem bisherigen ^7.4.8-Constraint — Composer kann sie beim composer update -W transitive auf die jeweils aktuellen 7.4.x-Stände hochziehen, wenn das Lockfile es zulässt. Welche konkreten Versionen am Ende installiert sind, sieht man pro Setup mit composer show symfony/*.

npm-Devdep-Sanierung (TASK, Release-Tag-Commit)

Commit 8c0c8fb2d52 (26.05.2026, Oliver Hader) räumt am Release-Tag selbst die in den letzten Wochen aufgelaufenen vulnerable npm-Devdep-Funde. Die konkreten Pakete stehen im Commit-Diff; in Summe betrifft das Asset-Build-Toolchain-Pakete (Bundler, Linter, Test-Runner), nicht die im Browser ausgelieferten Frontend-Bundles. Operativ heißt das: der Schutz gilt der Entwickler-/CI-Maschine, nicht dem Endnutzer.

Wer eigene Sitepackage-Toolchains betreibt, sollte den eigenen package-lock.json parallel mit npm audit --omit=dev bzw. npm audit fix durchgehen — die Core-Pflege ist Vorbild, nicht Vollersatz. Bezug zur aktuellen Lage: der heutige Kim-Daily-Brief „Claude Code und Gemini CLI im Visier finanziell motivierter Angreifer" beschreibt, wie Entwickler-Workstations und ihre Toolchains zum primären Einstiegspunkt von Supply-Chain-Kampagnen werden.

Site-aware Cache-Tag-Collection (TASK, operative Wirkung)

Commit 30cf9cf0739 (20.05.2026, Soren Malling) ergänzt die aktuelle Site in der Cache-Tag-Collection. Konsequenz: wenn das Cache-Layer Tags pro Site getrennt führt (Reverse-Proxy-Invalidation, applikationsinterne Tag-Flushes), kann jetzt sauber pro Site invalidiert werden, statt versehentlich Cross-Site-Tag-Überschneidungen zu erzeugen. Relevant für Multi-Site-Setups — typisch bei Mandanten-Setups, bei mehreren Domains pro Instanz oder bei Sprach-Overlays mit eigener Cache-Strategie. In Single-Site-Setups ändert sich operativ wenig.

MD5-Hinweis aus Install-Tool-Alert-Mail entfernt (TASK, Cleanup mit Signal)

Commit f086fca11c9 (18.05.2026, Oliver Hader) entfernt aus der Install-Tool-Alert-Mail einen Hinweis-Satz, der historisch noch MD5 als möglichen Passwort-Hash-Algorithmus erwähnte. MD5 ist als Passwort-Hashing-Verfahren seit Jahren raus aus jeder ernsthaften Empfehlung; der Hinweistext hatte in einer 2026er-Install-Tool-Mail nichts mehr zu suchen. Kosmetischer Cleanup mit klarer Signal-Funktion.

Live-Search zeigt Sprach-Flagge in den Ergebnissen (BUGFIX)

Commit 8e92e74ff13 (18.05.2026, Benjamin Kott) repariert die Live-Search-Ergebnisliste: bei mehrsprachigen Inhalten wurde die Sprach-Flagge nicht mehr zuverlässig angezeigt. Mit dem Fix sieht die Redaktion in der Live-Search wieder, welcher Sprach-Overlay zu welchem Treffer gehört — Hilfe bei Setups mit zwei oder mehr aktiven Sprachen.

fluid:analyze erkennt deprecated useNonce (TASK, Entwickler-relevant)

Commit 92757cf77cf (17.05.2026, Simon Praetorius) erweitert den Fluid-CLI-analyze-Befehl: der inzwischen als deprecated markierte useNonce-Parameter wird nun von der Analyse-Stufe erkannt und gemeldet. Für Sitepackage-Maintainer heißt das: ein vendor/bin/typo3 fluid:analyze zeigt jetzt frühzeitig, wo in eigenen Templates noch das alte Konstrukt sitzt, bevor es in einer späteren TYPO3-Major-Version verschwindet.

Drei Doku-/Tooling-Korrekturen

Commit 8e865b55f8b (20.05.2026, Chris Müller) korrigiert die Doku-Angabe zur Field-Column-Size des UUID-Typs im Changelog. Commit 657989535fb (19.05.2026, Markus Klein) hebt die phpstan/phpstan-Version. Commit 983d845b6b8 (13.05.2026, Markus Klein) ergänzt in der Doku einen expliziten Hinweis zur korrekten Verwendung des PageDoktypeRegistry. Commit 775540e17c1 (12.05.2026, Chris Müller) korrigiert den Namespace für QueryResultPaginator in einem Changelog-Eintrag.

Version-Bump und Release-Commit

Commit 7ea76cc903f (12.05.2026, Oliver Hader) setzt die TYPO3-Version auf 14.3.2-dev. Commit d3b483b4a41 (26.05.2026, Oliver Hader) ist der eigentliche Release-Commit.

TYPO3 13.4.30 — die Änderungen im Detail

Die 13.4.30 enthält acht Commits seit 13.4.29 (inklusive Release- und Version-Bump-Commit). Sechs davon sind inhaltlich 1:1 mit der 14.3.2-Liste identisch — die LTS-Linie bekommt denselben Wartungs-Schwerpunkt, nur ohne die vier 14er-spezifischen Detail-Fixes (Live-Search-Flagge, fluid:analyze-useNonce, zwei Changelog-Doku-Patches).

Symfony- und Composer-Constraint-Raise

Commit 4fd2524fe60 (25.05.2026, Oliver Hader) ist die LTS-Variante des 14er-Raise. Inhalt identisch: symfony/mailer ^7.4.12, symfony/mime ^7.4.12, symfony/routing ^7.4.12, symfony/yaml ^7.4.12, symfony/cache ^7.4.12 (transitiv), composer/composer ^2.9.8 (Devdep). Die im Commit-Message dokumentierten CVEs sind dieselben neun wie in 14.3.2 (vollständige Liste in der nächsten Sektion).

npm-Devdep-Sanierung

Commit 5cf5009a98e (26.05.2026, Oliver Hader) ist die LTS-Variante. Identische Begründung wie in 14.3.2 — Entwickler-/CI-Toolchain, nicht produktive Frontend-Bundles.

Site-aware Cache-Tag-Collection

Commit 8af66a56dd1 (20.05.2026, Soren Malling) — identisch zur 14er-Version. Multi-Site-Setups profitieren, Single-Site bleibt unverändert.

MD5-Hinweis aus Install-Tool-Alert-Mail entfernt

Commit e5a03a90328 (18.05.2026, Oliver Hader) — der LTS-Backport des MD5-Cleanup-Commits.

phpstan-Raise

Commit c21bbb58c79 (19.05.2026, Markus Klein) — Toolchain-Pflege, identisch zur 14er-Version.

PageDoktypeRegistry-Dokumentation

Commit 9db9ab10cbc (13.05.2026, Markus Klein) — derselbe Doku-Patch wie in 14.3.2.

Version-Bump und Release-Commit

Commit 74967a6f11d (12.05.2026, Oliver Hader) setzt die TYPO3-Version auf 13.4.30-dev. Commit 09b644f9e12 (26.05.2026, Oliver Hader) ist der Release-Commit.

Bewusst nicht in 13.4.30 zurückportiert

Vier 14.3.2-Commits wandern nicht in die LTS-Linie zurück (Begründung jeweils aus der Architektur-Differenz heraus geschätzt — TYPO3 nennt im Release-Notes-Diff keine Rückport-Begründungen):

Was hat sich an der Sicherheit geändert?

Auf TYPO3-Core-Ebene: nichts. Kein neuer SA-CORE-2026-*-Advisory, kein [SECURITY]-Tag in den Commit-Logs, kein Security-Bezug in den Release-Notes oder im News-Artikel.

Auf Dependency-Ebene: der Symfony-Raise vom 25.05. adressiert ausweislich des Commit-Messages neun CVEs in vier direkten Symfony-Paketen, einer transitiven Symfony-Komponente und in Composer als Devdep. TYPO3 wählt für solche Fälle ausdrücklich nicht den Weg eines eigenen Core-Advisorys, sondern integriert die Dependency-Patches in den nächsten regulären Maintenance-Drop. Das ist die konservative, in der TYPO3-Maintainer-Praxis übliche Linie: ein Core-Advisory hängt am Code-Pfad des Cores, nicht an den Code-Pfaden seiner Dependencies.

Die neun CVEs aus dem Commit-Message im Detail

Der Maintainer Oliver Hader benennt im Commit-Message des symfony/*- und composer/composer-Raise neun CVEs. Wir listen sie hier mit Paket-Bezug und kurzer Einordnung, damit DSB und IT-Verantwortliche der Kundschaft die Mitnahme dokumentieren können:

Was im Commit-Message NICHT steht

Die Symfony-Mai-Disclosure-Welle vom 20.05.2026 (CVE-2026-46626 SymfonyRuntime, CVE-2026-45075 IsGranted/HEAD-Bypass, CVE-2026-45071 DomCrawler-XXE, CVE-2026-45072 WebProfiler-XSS) ist in diesem Constraint-Raise nicht explizit referenziert. Wer diese Welle adressieren will, prüft per composer why-not symfony/http-foundation:^7.4.12 und composer why-not symfony/security-core:^7.4.12, ob die eigenen Constraints dem Composer-Resolve den Sprung auf 7.4.12-Stände der anderen Symfony-Pakete erlauben — Composer zieht sie bei -W/--with-dependencies häufig transitive mit, aber explizit verankert sind sie im TYPO3-Core nicht.

Twig-Sandbox-Welle vom 20.05.: Twig ist nicht Teil des TYPO3-Cores — TYPO3 nutzt Fluid (typo3fluid/fluid) als Template-Engine. Wer Twig in einer Custom-Extension oder Standalone-Komponente parallel nutzt, pflegt den Twig-Patch-Stand unabhängig vom TYPO3-Release über den eigenen Composer-Constraint.

Was diese Lesart für Betreiber heißt: das Update ist regulär durch die Pipeline laufen lassen — bei mir mit Continuous Deployment in derselben Iteration, in der TYPO3-Maintenance-Releases ohnehin automatisch durchgehen. Wer einen Wartungsfenster-getriebenen Betrieb fährt, hat dieses Release im nächsten geplanten Fenster richtig. Es gibt aus TYPO3-Sicht keine Notfall-Stufe, und ich spiegle das.

Wer ist betroffen?

Drei Profile mit unterschiedlicher Priorität:

Wer auf 14.0/14.1/14.2 sitzt, sollte ohnehin auf 14.3 wechseln — die Zwischenversionen bekommen keine Wartung mehr.

Betreiberempfehlung

Maintenance-Releases verdienen Disziplin, kein Drama. Wer wie ich auf Continuous Deployment fährt, hat das Update ohnehin im nächsten Pipeline-Lauf. Wer Wartungsfenster fährt, sortiert es ins nächste reguläre Fenster ein.

Operational Decision Block

Quick-Check vor dem Update

 

# TYPO3-Version prüfen
vendor/bin/typo3 --version

# Symfony-Constraint-Checks (pro Paket aus dem Raise)
composer why symfony/mailer
composer why symfony/mime
composer why symfony/routing
composer why symfony/yaml
composer why composer/composer

# Optional: prüfen, ob der Composer-Resolve die jeweiligen 7.4.12-Stände einziehen kann
composer why-not symfony/mailer:^7.4.12
composer why-not symfony/mime:^7.4.12
composer why-not symfony/routing:^7.4.12
composer why-not symfony/yaml:^7.4.12

# Composer-Update simulieren
composer update typo3/cms-* --with-dependencies --dry-run

# npm-Devdep-Audit (eigene Sitepackage-Toolchain)
npm audit --omit=dev

# Nach dem Update: Cache räumen
vendor/bin/typo3 cache:flush

 

Was ich bewusst nicht tue

Was ich konkret tue

Meine TYPO3-Stack-Strategie folgt zwei Linien parallel: meine eigenen Sites laufen auf der 14.3-LTS-Linie, während ich bei Kunden je nach Vertragsbasis auch 13.4 LTS supporte. Ich fahre kein klassisches Wartungsfenster-Modell, sondern Continuous Deployment: TYPO3-Core-Updates durchlaufen im selben Tempo wie Sitepackage-Änderungen die Pipeline (Renovate-PR, automatisierter Test-Lauf, Review, Merge, Deployment).

Bei mir selbst

Bei Kunden auf 13.4-LTS

Was nicht in diesem Lauf mitgeht

Häufige Fragen zu TYPO3 14.3.2 und 13.4.30

Müssen wir TYPO3 14.3.2 sofort einspielen?+

Nein, kein Notfall-Update. TYPO3 klassifiziert die Releases ausdrücklich als „maintenance only" und gibt kein eigenes Core-Security-Advisory aus. Im Commit-Message des Symfony-/Composer-Constraint-Raise stehen neun CVE-Referenzen, aber TYPO3 framed das Release trotzdem nicht als Security-Update. Wer Continuous Deployment fährt, hat 14.3.2 im nächsten regulären Pipeline-Lauf. Wer Wartungsfenster fährt, hängt es ins nächste reguläre Fenster.

Welche CVEs werden mit dem Symfony-Constraint-Raise konkret abgedeckt?+

Der Commit-Message von a6aede1e839 (14.3.2) bzw. 4fd2524fe60 (13.4.30) nennt explizit: CVE-2026-45068 (mailer), CVE-2026-45067 und CVE-2026-45070 (mime), CVE-2026-45065 (routing), CVE-2026-45304, CVE-2026-45305 und CVE-2026-45133 (yaml), CVE-2026-45073 (cache, transitiv), CVE-2026-45793 (composer/composer als Devdep). Welche konkreten Versionen am Ende in Ihrem Lockfile landen, sehen Sie mit composer show symfony/mailer symfony/mime symfony/routing symfony/yaml symfony/cache composer/composer.

Was ist mit der Symfony-Mai-Disclosure-Welle vom 20.05. (CVE-2026-46626, -45075, -45071, -45072)?+

Diese Welle ist im Commit-Message des aktuellen TYPO3-Raise nicht explizit referenziert. Sie betrifft Pakete, die TYPO3 im Core entweder anders verwendet oder deren Constraints nicht in diesem Drop hochgezogen wurden. Composer kann sie bei composer update -W transitiv mitnehmen, wenn die anderen Symfony-Pakete in der composer.json einen Constraint-Range haben, der die gepatchten Stände einschließt — explizit verankert sind sie aber nicht.

Bringt 13.4.30 ein neues Feature mit?+

Nein. Anders als 13.4.29 (f:render.text-Backport, Composer 2.9.7, Fluid Standalone 4.6.1) ist 13.4.30 ein reines Wartungs-Release. Die acht Commits sind alle Backports, Dependency-Raises oder Doku-Patches.

Müssen wir Datenbank-Migrationen fahren?+

Nein. Beide Release-Notes stellen explizit fest: „No database updates are necessary." Es empfiehlt sich, nach dem Update einmal alle Caches zu räumen (Install-Tool → Important Actions → Flush Cache, oder per CLI vendor/bin/typo3 cache:flush).

Wir haben eigene Multi-Site-Setups — ist der Cache-Tag-Fix für uns relevant?+

Ja. Der Commit zur Site-aware Cache-Tag-Collection sorgt dafür, dass Cache-Tag-Operationen die aktuelle Site mit aufnehmen. Bei Multi-Site-Setups (mehrere Sites unter derselben TYPO3-Instanz, Reverse-Proxy-Invalidation pro Mandant) wird damit die Tag-Trennung zwischen den Sites sauberer. In Single-Site-Setups ändert sich operativ wenig.

Was war an dem MD5-Hinweis in der Install-Tool-Mail problematisch?+

Nicht „problematisch" im Sinne einer Schwachstelle, sondern ein veralteter Hinweistext, der MD5 als möglichen Passwort-Hash-Algorithmus erwähnte. MD5 ist als Passwort-Hashing-Verfahren seit Jahren raus aus jeder ernsthaften Empfehlung. Der Hinweistext gehörte in einer 2026er-Install-Tool-Mail schlicht nicht mehr hin — kosmetischer Cleanup mit klarer Signal-Funktion.

Was ist mit fluid:analyze und useNonce?+

Der useNonce-Parameter ist in der 14er-Fluid-Linie als deprecated markiert und wird in einer späteren Major-Version entfernt. Mit 14.3.2 erkennt der CLI-Befehl vendor/bin/typo3 fluid:analyze die Verwendung in eigenen Templates und meldet sie. Wer fluid:analyze nicht in der CI-Pipeline laufen lässt, kann den Befehl ad hoc vor der nächsten Major-Migration aufrufen — er ersetzt keinen Test, aber er findet diese Klasse von Deprecations schnell.

Fazit

TYPO3 14.3.2 und 13.4.30 sind kleine, fokussierte Maintenance-Releases, von TYPO3 selbst als „maintenance only" angekündigt. Es gibt kein dediziertes Core-Security-Advisory in diesem Zyklus. Der Symfony-/Composer-Constraint-Raise vom 25.05. trägt im Commit-Message neun CVE-Referenzen — symfony/mailer, symfony/mime, symfony/routing, symfony/yaml, transitiv symfony/cache, plus composer/composer — aber diese Information sitzt ausschließlich im Commit-Log, nicht in der Außenkommunikation des Releases.

Ich lese das genauso, wie TYPO3 es framed: ein regulärer Maintenance-Drop, der nebenbei eine Reihe von Dependency-Patches mitnimmt. Bei Continuous Deployment heißt das, dass das Update im normalen Pipeline-Lauf richtig aufgehoben ist — kein Sonder-Wartungsfenster, kein Notfall-Rollout, keine besondere Wochenendaktion. Wer Wartungsfenster-Betrieb fährt, hängt das Update an das nächste reguläre Fenster. Wer es vor einem Audit-Termin schriftlich dokumentieren will, kopiert die neun CVE-Referenzen aus dem Commit-Message in die Wartungs-/CD-Notiz und hat damit den Stand belegt.

Die parallel laufende npm-Devdep-Sanierung im Core ist ein hilfreicher Anlass, die eigene Sitepackage-Toolchain mit einem npm audit --omit=dev durchzugehen — gerade in einer Woche, in der die Entwickler-Workstation strukturell als Einstiegspunkt benannt wird (Claude-Code-/Gemini-CLI-Installer-Impersonation, Shai-Hulud-/AntV-Welle).

Bevor die nächste Dependency-Welle Sie unvorbereitet trifft — sprechen wir über Ihre Pipeline-Disziplin.

TYPO3-Updates ohne Drama — Continuous Deployment statt Wartungsfenster, mit nachweisbarem Constraint-Audit pro Drop.

Ich betreibe TYPO3-14.3-LTS- und TYPO3-13.4-LTS-Installationen mit Continuous-Deployment-Pipeline: Renovate-PR, automatisierter Composer-Constraint-Check, Sitepackage-Acceptance-Tests, Visual-Regression, Cache-Verifikation, Rollback-Pfad. Wo eine Dependency-Raise (wie diesen Monat) CVE-Referenzen im Commit-Log trägt, dokumentiere ich die Mitnahme schriftlich für die DSB / IT-Verantwortlichen der Kundschaft — in der Sprache, in der TYPO3 selbst es framed: regulärer Maintenance-Drop mit transitiv mitgenommenen Dependency-Patches.

Wenn du deine TYPO3-Wartung von „Wartungsfenster-getrieben mit ungewissem Patch-Stand" auf „Continuous Deployment mit dokumentierter Constraint-Disziplin" heben willst — mit nachvollziehbarer Composer-Resolve-Historie, sitepackage-eigener npm-Audit-Routine und Patch-Stand-Nachweis für DSB-/Audit-Pflichten — sprich mich an.

Termin direkt vereinbaren

Autor dieses Beitrags

Foto von Kai Ole Hartwig.

Kai Ole Hartwig

Freiberuflicher DevSecOps-Berater · OnlyOle Consulting

Programmiert seit 2002 – autodidaktisch gelernt, 2012 mit KO-Web selbständig gemacht. Über 100 Projekte, Fokus auf Security, Performance, Automatisierung und Qualität. Heute freiberuflich: DevSecOps-Beratung, Schulungen und Softwareentwicklung.

TYPO3 EXT-SA 2026, ceselector RCE, news SQL Injection, crawler RCE, ke_search XXE, tt_address SQL Injection, sf_register Broken Access Control, Renovate, georgringer news, Mittelstand

TYPO3 EXT-SA-Cluster Mai 2026

Am Abend des 19. Mai 2026 hat das TYPO3 Security Team sechs Extension-Advisories veröffentlicht — von Critical (ceselector-RCE über unserialize-Cookie) über High (news-SQLi, crawler-RCE) bis Medium (tt_address, sf_register, ke_search). Wer einen über eine Patch-Pipeline (Renovate, Dependabot o. ä.) gewarteten Stack betreibt, sieht die sechs Patch-Releases automatisiert in den Build einlaufen. Eine technische Analyse pro Lücke, einschließlich der zwei wiederkehrenden Patterns (PHP-Object-Injection und unsanitisierter SQL-Input) und der ke_search-Dreierkette aus XXE, Path Traversal und Information Disclosure.

Claude Code, Gemini CLI, SEO Poisoning, Infostealer, Fileless Malware, PowerShell, AMSI Bypass, ETW Bypass, Anthropic, Google, EclecticIQ, MIRhosting, Developer Workstation, Supply Chain, OAuth Tokens, CI/CD Credentials, Slack, Microsoft Teams, OpenVPN, PuTTY, WinSCP, MCP, Agentic AI, Mittelstand, NIS-2, BSI, DSGVO, SOPS, YubiKey, FIDO2, OIDC, Secret Rotation, Passwortmanager, age

KI-Tool-Installation als Falle (SEO-Poisoning)

Tagesbriefing zur EclecticIQ-Analyse vom 21. Mai 2026 über eine seit März laufende SEO-Vergiftungs-Kampagne gegen die Installations-Seiten von Claude Code und Gemini CLI. KI-Agenten-Tooling-Adoption ist als eigene Supply-Chain-Spur in der eCrime-Ökonomie angekommen; der Mittelstand braucht Inventur, Powershell-Härtung und eine Secret-Disziplin (SOPS/YubiKey/OIDC mit Minuten-Token/Passwortmanager mit Rotation), die den Wert eines kompromittierten Notebooks auf wenige Minuten gültiger Tokens schrumpft.