Nach einem Upgrade „begrüßte“ mich ein Meldungsfenster im Typo3-Backend mit dem folgenden Text:

Wichtiger Hinweis!
Security Risk! The new value of fileDenyPattern misses parts of its default:
\.(php[3-6]?|phpsh|phtml)(\..*)?$|^\.htaccess$
If TYPO3 is running on Apache, a customized value might enable backend or frontend users to execute malicious php scripts.

Die Lösung hierfür befindet sich im Backend unter Installation > All Configuration > [fileDenyPattern]. Hier wird der in der Meldung gezeigte reguläre Ausdruck (regular expression) „vermisst“.

\.(php[3-6]?|phpsh|phtml)(\..*)?$|^\.htaccess$

Diesen gilt es einzutragen beziehungsweise hinzuzufügen. Anschließend die Konfiguration abspeichern und gegebenenfalls den Cache löschen – fertig.

Typo3 filePatternDeny

Typo3-Konfiguration: filePatternDeny

In der Variable $TYPO3_CONF_VARS[‚BE‘][‚fileDenyPattern‘] werden verbotene Dateiendungen anhand eines regulären Ausdrucks gespeichert. Alle hier aufgeführten Dateitypen lassen sich somit nicht mehr unter /fileadmin hochladen.
Diese Sicherheitseinstellung unbedingt vornehmen, da hochgeladene Dokumente mit den Endungen .php oder eine .htaccess-Datei definitiv nichts in der Dateiliste verloren haben und ein hohes Risiko darstellen.