Im Wesentlichen geht es um eine kleine Änderung im NewsController. Da dieser Controller nicht selten in der eigenen Extension extended wird, muß auch dort deerr Fix angewendet werden, sollte die Methode / Action überschrieben werden.
Nachfolgend der Link zum bulletin: typo3.org/teams/security/security-bulletins/typo3-extensions/typo3-ext-sa-2017-001/