Wenn deine Website auf TYPO3 läuft, ist diese Woche Handlungsbedarf angesagt. Das TYPO3-Projekt hat eine ganze Serie an Security Advisories veröffentlicht (TYPO3-CORE-SA-2026-006 bis -019). Auch das deutsche BSI hat über CERT-Bund nachgezogen und warnt unter WID-SEC-2026-1835. Die zentrale Lücke trägt die Kennung CVE-2026-6553.
Worum geht es konkret?
Die wichtigste Schwachstelle steckt im HTML Sanitizer – also genau der Komponente, die schädliche oder unerwünschte Inhalte beim Verarbeiten von HTML herausfiltern soll. Gelingt es, diese Schutzfunktion zu umgehen, kann eingeschleuster Code im Browser ausgeführt werden (Cross-Site-Scripting, XSS). Die Einstufung:
- CVE-2026-6553: CVSS 7.3 (hoch) laut TYPO3-Projekt
- BSI-Bewertung: CVSS 8.1 – das BSI bezieht weitere zusammenhängende CVEs in die Bewertung ein
- Mehrere weitere CVEs (u. a. CVE-2026-11607, CVE-2026-47343 ff., CVE-2026-49738 ff.) wurden im selben Aufwasch behoben.
Wer ist betroffen?
Betroffen sind laut TYPO3-Projekt die Versionen 10.0.0–10.4.56, 11.0.0–11.5.50, 12.0.0–12.4.45, 13.0.0–13.4.30 sowie 14.0.0–14.3.2. Praktisch heißt das: nahezu jede produktive TYPO3-Installation, die nicht topaktuell gepatcht ist. Besonders heikel ist die Lücke für Seiten mit vielen Redakteur:innen, da Inhalte laufend über Pflegeprozesse ins System kommen – genau dort greift der XSS-Vektor.
Was solltest du jetzt tun?
- Prüfen, welche TYPO3-Version im Einsatz ist (Backend → Maintenance / Environment).
- Auf die vom TYPO3-Projekt bereitgestellte Patch-Version aktualisieren – zeitnah, nicht beim nächsten Wartungsfenster.
- Wo ein sofortiges Update organisatorisch nicht geht: redaktionelle HTML-Eingaben und Custom-RTE-Konfigurationen besonders eng kontrollieren.
- Öffentliche Hand und NIS2-pflichtige Betriebe: Vorfall in die internen Update- und Prüfprozesse aufnehmen und dokumentieren.
Was droht, wenn du nichts tust?
XSS-Angriffe betreffen nicht nur die Integrität der Website. Sie können Sitzungen kapern, Nutzer:innen umleiten und vertrauenswürdige Inhalte manipulieren – mit direkten Folgen für Datenschutz, Reputation und im NIS2-Kontext auch für die Compliance. Der CERT-Bund-Eintrag macht deutlich: Das ist kein theoretisches Randproblem.
Du weißt nicht, ob deine TYPO3-Installation aktuell ist – oder hast keine Zeit, das selbst zu prüfen? Wir übernehmen Versionscheck, Patch und Härtung für dich, egal ob in TYPO3, WordPress, Magento, einer individuellen Laravel-Applikation oder in einem Headless-Setup mit Payload oder Directus. Nimm jetzt Kontakt auf!
Quellen: TYPO3 Security Advisory SA-2026-006 · BSI / CERT-Bund WID-SEC-2026-1835
