Команда безопасности Drupal предупредила о предстоящем выпуске критических обновлений для всех поддерживаемых веток ядра CMS. Обновления планируют опубликовать 20 мая 2026 года в промежутке с 17:00 до 21:00 UTC.
Разработчики рекомендуют администраторам заранее выделить время на установку патчей. По их словам, рабочие эксплойты могут появиться в течение нескольких часов или дней после публикации исправлений.
Точные детали уязвимости пока не раскрываются. Известно только, что проблема затрагивает не все конфигурации сайтов. Информация о смягчении риска будет опубликована вместе с advisory.
Исправления подготовят для следующих поддерживаемых веток ядра:
11.3.x
11.2.x
10.6.x
10.5.x
Владельцам сайтов советуют заранее обновиться до последних patch-релизов внутри своих веток, чтобы избежать дополнительных проблем в момент установки критического обновления.
Из-за серьезности проблемы команда Drupal также выпустит обновления для неподдерживаемых minor-веток 11.1.x и 10.4.x. Перед выходом патча рекомендуется:
обновить Drupal 11.0 и 11.1 минимум до 11.1.9;
обновить Drupal 10.0–10.4 минимум до 10.4.9.
После установки экстренного обновления разработчики рекомендуют как можно скорее перейти на актуальные ветки 11.3 или 10.6.
Для полностью устаревших версий Drupal 8 и 9 готовых релизов не будет. Вместо этого опубликуют patch-файлы для веток 8.9 и 9.5, которые придется применять вручную. Команда проекта предупреждает, что такие патчи не гарантируют стабильную работу и могут вызвать регрессии.
В advisory указана оценка риска "Highly critical" с рейтингом 20 из 25. По данным разработчиков, эксплуатация уязвимости не требует привилегий и потенциально может позволить злоумышленникам получать доступ к данным или изменять содержимое сайтов при определенных конфигурациях.
Ранее Drupal уже сталкивался с критическими уязвимостями, включая серию атак Drupalgeddon, после которых массовая эксплуатация началась практически сразу после публикации патчей.
Источник: HN