Drupal ha emitido una alerta indicando que tiene la intención de lanzar una «versión de seguridad principal» para todas las ramas admitidas el 20 de mayo de 2026, de 5 a 9 p.m. UTC.
«El equipo de seguridad de Drupal le insta a reservar tiempo para las actualizaciones principales en ese momento porque los exploits podrían desarrollarse en cuestión de horas o días», afirman los responsables del sistema de gestión de contenidos (CMS) basado en PHP. dicho.
«No todas las configuraciones se ven afectadas. Reserve tiempo el 20 de mayo durante la ventana de lanzamiento para determinar si sus sitios están afectados y necesitan una actualización inmediata. La información de mitigación se incluirá en el aviso».
Se recomienda actualizar al último parche compatible para la versión de Drupal del sitio antes de la fecha límite para poder solucionar cualquier problema de actualización pendiente.
Se espera que haya parches disponibles para las siguientes ramas compatibles del núcleo de Drupal:
- 11.3.x
- 11.2.x
- 10.6.x
- 10.5.x
«Los sitios en una de estas versiones compatibles deben actualizarse a la última versión del parche para la rama dada ahora en preparación para la ventana de seguridad», dijo Drupal.
La naturaleza exacta del problema de seguridad que se está abordando se desconoce en este momento, pero se espera que sea grave dado que Drupal proporciona las versiones 11.1.x y 10.4.x para sitios que ejecutan versiones centrales menores al final de su vida útil. Antes de la ventana de actualización planificada:
- Los sitios en Drupal 11.1 o 11.0 deben actualizarse al menos a Drupal 11.1.9.
- Los sitios en Drupal 10.4, 10.3, 10.2, 10.1 o 10.0 deben actualizarse al menos a Drupal 10.4.9.
La idea es que estos sitios apliquen la actualización de seguridad tan pronto como se publique el 20 de mayo y luego actualicen a Drupal 11.3 o 10.6 en un futuro próximo.
Para los sitios que aún se encuentran en versiones principales al final de su vida útil, como Drupal 8 y 9, los archivos de parche para Drupal 8.9 y 9.5 deberán aplicarse manualmente. Sin embargo, Drupal advirtió que no hay garantía de que las correcciones funcionen correctamente y agregó que pueden introducir otros problemas o regresiones.
«Sin embargo, pueden ayudar a mitigar la vulnerabilidad de los sitios que aún tienen estas versiones principales antiguas hasta que se actualicen a una versión compatible», dijo Drupal.
«Recomendamos encarecidamente que los sitios Drupal 8 o 9 actualicen pronto al menos a Drupal 10.6. Drupal 8 y 9 incluyen muchas otras vulnerabilidades de seguridad previamente divulgadas que no serán abordadas ni por Drupal Steward ni por los archivos de parche de mejor esfuerzo».
Drupal también señaló que Drupal 7 no se ve afectado por el problema. Se recomienda que los sitios con cualquier versión de Drupal 9 actualicen a 9.5.11, y aquellos con cualquier versión de Drupal 8 deben actualizar a Drupal 8.9.20.
