TYPO3 14.3.0: Warum dieses Update mehr ist als ein Pflichtklick
Wenn du TYPO3 im Einsatz hast, kennst du das Ritual. Update einspielen. Cache leeren. Haken dran.
Diesmal reicht das nicht.
Am 21. April 2026 hat TYPO3 ein Security Advisory veröffentlicht. Es betrifft TYPO3 14.2.0. Die Einstufung ist „High“. Es geht um sensible Daten in Backend-User-Settings.
Wir zeigen dir, was passiert ist. Und was du jetzt konkret tun musst. Ohne Panik, aber mit Plan.
Was genau ist passiert
TYPO3 hat für 14.2.0 eine Sicherheitslücke dokumentiert. Die Kurzfassung: bestimmte Backend-User-Werte konnten als Klartext in der Datenbank landen. TYPO3 ordnet das als „Sensitive Data Exposure“ ein. Der Fix steckt in TYPO3 14.3.0 LTS. Das steht so im offiziellen Advisory von TYPO3.
Wichtig ist ein Satz aus dem Advisory: ein Update allein bereinigt keine Altlasten. TYPO3 sagt explizit, dass der Patch bestehende Daten nicht rückwirkend entfernt.
Das ist der Punkt, den viele überspringen.
Wen das betrifft
Du bist betroffen, wenn du TYPO3 14.2.0 einsetzt. Nicht, wenn du noch auf 13 LTS oder 12 LTS läufst. Nicht, wenn du schon 14.3.0 nutzt.
Wenn du dir nicht sicher bist, schau ins Backend, in deine Composer-Konfiguration oder in dein Deployment-Log. Hauptsache, du rätst nicht.
Warum das für KMU besonders unangenehm ist
Viele Mittelständler behandeln TYPO3 wie eine Website. Dabei ist es ein System mit Nutzern, Rollen und Rechteverwaltung.
Wenn Werte im Klartext in der Datenbank stehen, ist das ein Risiko. Nicht nur, weil jemand die Datenbank lesen kann. Sondern auch, weil in vielen Firmen Passwörter wiederverwendet werden. Das ist Alltag. Genau deshalb knallt so ein Thema.
Wir wollen hier keine Horrorstory erzählen. Wir sagen nur: Wer jetzt sauber aufräumt, spart sich später Stress.
Die richtige Reihenfolge: Update, Wizard, Passwort-Reset
TYPO3 nennt drei konkrete Schritte. Wir übersetzen sie in eine Reihenfolge, die in echten Projekten funktioniert.
Schritt 1: Auf TYPO3 14.3.0 LTS updaten
Das ist der eigentliche Fix. TYPO3 empfiehlt das Update auf 14.3.0 LTS als Lösung.
Mit Composer ist das meist ein normales Minor Update. Trotzdem gilt: erst Staging, dann Produktion. Wer kein Staging hat, hat das eigentliche Problem. Nicht das Advisory.
Schritt 2: Upgrade-Wizards ausführen, inklusive „User Settings Scrubbing“
TYPO3 schreibt dazu einen sehr konkreten Hinweis. Du musst alle „User Settings“-Upgrade-Wizards ausführen. Und explizit den Wizard „User Settings Scrubbing“.
Der Wizard bereinigt falsch gespeicherte Klartextwerte in den Feldern uc und user_settings der Tabelle be_users. Der Pfad steht im Advisory: Admin Tools, Upgrade, Upgrade Wizard, User Settings Scrubbing.
Das ist der Teil, den viele vergessen, weil er nicht wie ein klassischer Patch wirkt.
Schritt 3: Backend-User-Passwörter neu setzen
TYPO3 empfiehlt außerdem, betroffene Backend-User-Accounts mit neuen Passwörtern zu versehen.
Wir machen das pragmatisch:
- Liste aller Backend-User ziehen.
- Admin-Accounts zuerst.
- Dann alle Redakteure.
- Passwörter nicht per Mail versenden.
- Stattdessen über einen sicheren Kanal.
Wer SSO nutzt, ist anders betroffen. Dann geht es weniger um Redakteur-Passwörter. Der Wizard bleibt trotzdem relevant.
Typische Fallen aus der Praxis
„Wir machen das Update später, wenn Zeit ist“
Das Advisory ist nicht akademisch. Es ist als „High“ eingestuft. Der Fix ist bekannt. Das ist genau der Moment, in dem man nicht wartet.
„Update ist drin, also passt das“
Nein. Patch drin heißt nicht Daten sauber. TYPO3 sagt das selbst. Ohne Wizard bleiben alte Werte stehen.
„Wir haben doch ein Backup“
Ein Backup hilft dir nicht, wenn du falsche Daten langfristig mitschleppst. Du brauchst eine Bereinigung, nicht nur eine Wiederherstellung.
Kurz-Checkliste für dein Team
Wenn du das intern weitergeben willst, nutz diese Liste. Sie ist bewusst kurz.
- Version prüfen: läuft TYPO3 14.2.0?
- Update planen: erst Staging, dann live.
- Upgrade-Wizards ausführen.
- „User Settings Scrubbing“ ausführen.
- Backend-User-Passwörter neu setzen.
- Danach Logins testen.
- Dokumentation ablegen.
Wie wir das bei Waterproof Web Wizard angehen
Wir arbeiten in solchen Fällen nach einem einfachen Prinzip. Erst Risiko stoppen. Dann sauber aufräumen. Dann dokumentieren.
Das heißt konkret:
- Dennis prüft zuerst, ob 14.2.0 im Einsatz ist.
- Dann updaten wir auf 14.3.0 LTS.
- Danach laufen die Wizards.
- Dann kommt der Passwort-Reset.
- Am Ende gibt es eine kurze Notiz für die IT.
Das ist kein großes Projekt. Aber es braucht jemanden, der es einmal sauber macht. Mehr zu unserem TYPO3-Service findest du auf der entsprechenden Seite.
Fazit
TYPO3 14.3.0 ist diesmal kein „Nice to have“. Es ist ein Sicherheitsfix. Und es ist einer von der Sorte, bei dem ein Update allein nicht reicht.
Wenn du TYPO3 14.2.0 nutzt, mach es diese Woche. Mit Wizard. Mit Passwort-Reset. Dann ist das Thema erledigt.
Häufige Fragen
Woran erkenne ich, ob ich TYPO3 14.2.0 nutze?
Du findest die Version im TYPO3-Backend unter Systeminformationen oder in deiner Composer-Konfiguration. Wenn du unsicher bist, lass kurz nachsehen.
Reicht ein Update auf TYPO3 14.3.0 aus?
Nein. TYPO3 weist darauf hin, dass das Update bestehende Daten nicht rückwirkend bereinigt. Du musst zusätzlich den Wizard „User Settings Scrubbing“ ausführen.
Muss ich wirklich alle Backend-User-Passwörter neu setzen?
TYPO3 empfiehlt das für betroffene Accounts. Wer auf Nummer sicher geht, setzt alle Backend-User-Passwörter neu und startet mit den Admin-Accounts.
Wenn wir das Update sauber für dich einspielen sollen, schreib uns über /kontakt/. Dennis prüft deine Version, plant das Update und dokumentiert die Schritte.
Quellen
