Relaunch, Upgrade & Migration Wartung, Security, Betrieb

TYPO3 13.4.27: Was das Maintenance Release mitbringt

Wer TYPO3 13 LTS betreibt, sollte Maintenance Releases zeitnah bewerten — auch wenn sie keine neuen Features enthalten. TYPO3 13.4.27 behebt mit rund 40 Commits Probleme im Backend, aktualisiert CKEditor 5 auf v47.6 und schliesst bekannte npm-Schwachstellen. Das Update ist in unter 30 Minuten eingespielt und erfordert kein Datenbank-Update. Dieser Artikel richtet sich an TYPO3-Entwickler und -Betreiber mit TYPO3 13.4 LTS Instanzen.

10.03.2026

Patrick Schatzschneider

Wartung, Security, Betrieb

4 Min. Lesezeit

TYPO3 Maintenance Release: TYPO3 Maintenance Release ist ein Patch-Update innerhalb einer LTS-Version (Long Term Support), das ausschliesslich Bugfixes, Kompatibilitaetsanpassungen und kleinere Verbesserungen enthaelt. Ziel ist, bestehende Installationen stabil und sicher zu halten, ohne neue Features oder Breaking Changes einzufuehren. Im Gegensatz zu Security Releases adressieren Maintenance Releases keine kritischen Sicherheitsluecken, koennen aber sicherheitsrelevante Verbesserungen enthalten.

Was TYPO3 13.4.27 aendert: die wichtigsten Fixes

TYPO3 13.4.27 ist kein grosses Feature-Release, sondern raeumt gezielt Probleme auf, die im Betrieb aufgefallen sind. Die rund 40 Commits lassen sich in fuenf Bereiche einteilen.

CKEditor 5 v47.6: Neue iframe-Sandbox-Defaults

Das CKEditor-Update auf Version 47.6.0 ist die relevanteste Aenderung in diesem Release. CKEditor erzwingt jetzt standardmaessig Sandbox-Restrictions fuer iframes. Das bedeutet: Eingebettete Inhalte wie Google Maps Widgets, YouTube-Videos oder externe Formulare im Rich Text Editor (RTE) koennen nach dem Update eingeschraenkt sein.

Wer betroffen ist: Alle Installationen, die iframe-basierte Embeds im RTE verwenden. Wenn eure Redakteure regelmaessig externe Inhalte einbetten, solltet ihr nach dem Update testen, ob diese noch korrekt funktionieren.

yaml

editor:
  config:
    htmlSupport:
      htmlIframeSandbox:
        - 'allow-scripts'
        - 'allow-same-origin'

YAML-Konfiguration fuer die RTE-iframe-Sandbox-Freigabe in TYPO3

Backend-Bugfixes: Recycler, Form Editor, Page Tree

Mehrere Fixes betreffen den redaktionellen Alltag im TYPO3 Backend:

Form Editor: Ein Crash beim gleichzeitigen Bearbeiten in mehreren Browser-Tabs ist behoben. Redakteure, die mit mehreren Tabs arbeiten, verlieren keine Formulardaten mehr.
Recycler: Die Filterauswahl bei der endgueltigen Loeschung funktioniert jetzt korrekt. Ausserdem wurde die Pagination bei mehreren Datensatztypen repariert.
Page Tree: Preselection-Probleme in der Page-Browser-Komponente sind behoben — die Seitenauswahl im Backend verhaelt sich wieder erwartungsgemaess.

Sicherheitsrelevante Verbesserungen

Obwohl 13.4.27 kein dediziertes Security Release ist, enthaelt es zwei sicherheitsrelevante Korrekturen:

CSP-Headers fuer Fehlerseiten: Standard-Fehlerantworten erhalten jetzt Content-Security-Policy-Header. Bisher waren Error-Responses davon ausgenommen — ein potenzieller Angriffsvektor bei benutzerdefinierten Fehlerseiten.
npm-Schwachstellen geschlossen: Bekannte Schwachstellen in npm-Dev-Dependencies wurden behoben.

PHP 8.5 Kompatibilitaet

Das Release behebt null Array Offset Notices, die unter PHP 8.5 in der Settings API auftreten. Wer bereits PHP 8.5 testet oder plant, auf PHP 8.5 zu wechseln, bekommt mit 13.4.27 eine sauberere Basis. Das bedeutet nicht, dass TYPO3 13 offiziell PHP 8.5 unterstuetzt — aber die Grundlage wird vorbereitet. Wer den Sprung auf die naechste Major-Version plant, findet im TYPO3 14 LTS Upgrade Guide eine vollstaendige Anleitung.

Weitere Fixes im Ueberblick

FilesProcessor: Ein TypeError bei nicht-rekursiver Dateiverarbeitung ist behoben.
Cache-Control: Doppelte Cache-Control-Header werden nicht mehr gesendet.
Extbase: Argument-Uploads werden jetzt korrekt gemergt.
File References: Fehlerhafte Dateireferenzen in erweiterten File Utilities sind korrigiert.
Core Icons: Browser-Caches fuehrten zu veralteten Icons — das Caching-Verhalten wurde angepasst.

Stolpersteine beim TYPO3 13.4.27 Update

iframe-Embeds brechen nach dem Update: Das neue Sandbox-Verhalten in CKEditor 5 ist ein stiller Breaking Change. Eure Redaktionsinhalte im RTE aendern sich nicht — aber das Rendering-Verhalten der iframes im Frontend schon. Prueft nach dem Update gezielt Seiten, auf denen iframe-Embeds eingebettet sind. Wenn externe Inhalte nicht mehr laden oder interaktiv sind, liegt es an den neuen Sandbox-Defaults.

Form Editor: Redakteure informieren: Der Multi-Tab-Bug im Form Editor konnte zu Datenverlust fuehren. Mit dem Fix ist das Problem behoben — aber wenn eure Redakteure sich angewoehnt haben, Formulare nur noch in einem Tab zu bearbeiten, koennt ihr Entwarnung geben.

Wann muss ich nach dem TYPO3 13.4.27 Update aktiv eingreifen?

Wenn ihr iframe-Embeds im RTE verwendet → Seiten im Frontend nach dem Update gezielt testen
Wenn iframes nach dem Update nicht laden → RTE-YAML um allow-scripts und allow-same-origin ergaenzen
Wenn ihr PHP 8.5 in der Testumgebung betreibt → 13.4.27 als Mindestbasis einsetzen
Wenn euer Team den Form Editor mit mehreren Tabs nutzt → Entwarnung geben, der Bug ist behoben
Wenn keine Staging-Umgebung vorhanden ist → Update erst nach manuellem Test auf Production einspielen

Update auf TYPO3 13.4.27

Changelog und Release Notes lesen
composer update auf der Staging-Umgebung ausfuehren
Seiten mit iframe-Embeds im Frontend testen
Bei iframe-Problemen: RTE-YAML-Konfiguration anpassen
Recycler und Form Editor stichprobenartig pruefen
Auf Production deployen
Cache flushen (typo3 cache:flush)

Haeufig gestellte Fragen

Ist TYPO3 13.4.27 ein Security Release?

Nein. TYPO3 13.4.27 ist ein reines Maintenance Release. Es enthaelt keine dedizierten Security Patches. Allerdings sind zwei sicherheitsrelevante Verbesserungen enthalten: CSP-Headers fuer Standard-Fehlerseiten und das Schliessen bekannter npm-Schwachstellen. Wer auf Nummer sicher gehen will, sollte zeitnah updaten.

Muss ich nach dem Update die Datenbank aktualisieren?

Was aendert sich konkret am CKEditor?

Ist TYPO3 13.4.27 kompatibel mit PHP 8.5?

Wann lohnt sich externe Unterstuetzung?

Regelmaessige TYPO3 Updates sind Routine — aber nicht jedes Team hat die Kapazitaet, jeden Patch zeitnah einzuspielen und zu testen. Externe Unterstuetzung lohnt sich, wenn:

Euer Team keine Staging-Umgebung betreibt und Updates direkt auf Production laufen
Niemand regelmaessig die TYPO3 Release Notes liest und bewertet
Ihr unsicher seid, ob Config-Aenderungen wie die neue CKEditor-Sandbox eure Inhalte betreffen
Updates sich ueber Monate aufstauen, weil andere Projekte Prioritaet haben
Ihr keinen definierten Rollback-Prozess habt, falls ein Update Probleme verursacht

Wer langfristig auf der sicheren Seite sein moechte, profitiert von einem TYPO3 Wartungsvertrag mit festem Update-Rhythmus und Staging-Pflicht. Eine detaillierte Schritt-fuer-Schritt-Anleitung fuer Major-Updates bietet die TYPO3 14 Upgrade Checkliste.