Änderungen am TYPO3 Bug Bounty Programm

• Finanzielle Vergütungen für gemeldete Sicherheitslücken in Extensions enden am 31. Mai 2026.
• Meldungen, die bis zum 31. Mai 2026 eingereicht werden, sind gemäß den aktuellen Bedingungen weiterhin vergütungsberechtigt.
• Das Melden von Sicherheitslücken in Extensions bleibt weiterhin möglich – das TYPO3 Security Team prüft Meldungen weiterhin, koordiniert die Behebung und veröffentlicht Sicherheitshinweise.
• Das Bug-Bounty-Programm wird für Core, Infrastruktur und Server unverändert fortgesetzt.

Die Praktiken der Meldung von Sicherheitslücken im gesamten Open-Source-Ökosystem entwickeln sich ständig weiter, daher schärft das TYPO3 Security Team den Umfang seines Bug-Bounty-Programms. Künftig werden finanzielle Vergütungen auf Funde in TYPO3 Core und Infrastruktur beschränkt – also auf die zentral gepflegten Bereiche mit der größten systemweiten Auswirkung.

Das TYPO3-Extension-Ökosystem ist groß und vielfältig, während Qualität und Wartungsgrad der einzelnen Extensions sich teils sehr unterscheiden. Da das Berichtsvolumen gewachsen ist, ist es zunehmend schwieriger geworden, ausreichende Prüfkapazitäten für Drittanbieter-Extensions – mit jeweils eigenen Maintainerinnen und Maintainern – aufrechtzuerhalten und mit der Zeit und dem Fokus in Einklang zu bringen, den die Core-Sicherheit erfordert.

Ein Sicherheitsprozess ist nur dann wirksam, wenn Meldungen sorgfältig geprüft, korrekt priorisiert und dort bearbeitet werden können, wo sie die größte Relevanz haben. Die Konzentration des Vergütungsprogramms auf Core und Infrastruktur spiegelt dieses Ziel wider.

✅ Meldung von Sicherheitslücken in Extensions über den Responsible-Disclosure-Prozess

✅ Prüfung durch das Security Team, Koordination mit Maintainerinnen und Maintainern sowie Veröffentlichung von Security Advisories

✅ Bug-Bounty-Vergütungen für Funde in Core, Infrastruktur und Servern

❌ Finanzielle Vergütungen für gemeldete Sicherheitslücken in Extensions nach dem 31. Mai 2026

Die Arbeit, das Können und die Liebe zum Detail all jener, die bisher Schwachstellen in Extensions gefunden haben, werden sehr geschätzt. Der TYPO3 Core ist jedoch der Bereich, in dem dieses Engagement die größte Wirkung entfaltet: Jede Entdeckung kommt dem gesamten Ökosystem zugute, weil sie potenziell jede Installation betrifft. Das Bug-Bounty-Programm bleibt dort unverändert bestehen. Wer sich bislang noch nicht mit der Sicherheit des Cores beschäftigt hat, findet jetzt einen guten Zeitpunkt, damit anzufangen.

Weitere Einzelheiten zum Umfang und Prozess für Schwachstellenfunde finden Sie hier.

Noch Fragen? Wenden Sie sich an security@typo3.org.