Drupal heeft een waarschuwing uitgegeven waarin staat dat het van plan is om op 20 mei 2026, van 17.00 tot 21.00 uur UTC, een “core security release” uit te brengen voor alle ondersteunde branches.
“Het Drupal Security Team dringt er bij u op aan om op dat moment tijd te reserveren voor kernupdates, omdat exploits binnen enkele uren of dagen kunnen worden ontwikkeld”, aldus de beheerders van het op PHP gebaseerde contentmanagementsysteem (CMS).
“Niet alle configuraties worden beïnvloed. Reserveer op 20 mei tijdens de releaseperiode tijd om te bepalen of uw sites getroffen zijn en onmiddellijk een update nodig hebben. Informatie over de beperking zal in het advies worden opgenomen.”
Er wordt geadviseerd om vóór de deadline te updaten naar de nieuwste ondersteunde patch voor de versie van Drupal van de site, zodat eventuele openstaande upgradeproblemen kunnen worden opgelost.
Er wordt verwacht dat er patches beschikbaar zullen zijn voor de volgende ondersteunde takken van Drupal core:
- 11.3.x
- 11.2.x
- 10.6.x
- 10.5.x
“Sites op een van deze ondersteunde versies zouden nu moeten updaten naar de nieuwste patchrelease voor de betreffende branch ter voorbereiding op het beveiligingsvenster”, aldus Drupal.
De exacte aard van het beveiligingsprobleem dat wordt aangepakt is op dit moment onbekend, maar de verwachting is dat het ernstig zal zijn, aangezien Drupal 11.1.x- en 10.4.x-releases levert voor sites die end-of-life minor core-versies draaien. Voorafgaand aan het geplande updatevenster –
- Sites op Drupal 11.1 of 11.0 moeten updaten naar minimaal Drupal 11.1.9.
- Sites op Drupal 10.4, 10.3, 10.2, 10.1 of 10.0 moeten updaten naar minimaal Drupal 10.4.9.
Het idee is dat deze sites de beveiligingsupdate moeten toepassen zodra deze op 20 mei uitkomt, en vervolgens in de nabije toekomst moeten upgraden naar Drupal 11.3 of 10.6.
Voor sites die nog steeds over de belangrijkste kernversies beschikken, zoals Drupal 8 en 9, moeten patchbestanden voor Drupal 8.9 en 9.5 handmatig worden toegepast. Drupal heeft echter gewaarschuwd dat er geen garantie is dat de oplossingen correct zullen werken, en voegt eraan toe dat ze andere problemen of regressies kunnen veroorzaken.
“Ze kunnen echter helpen de kwetsbaarheid te verminderen voor sites die nog op deze oude hoofdversies draaien totdat ze upgraden naar een ondersteunde release”, aldus Drupal.
“We raden sterk aan dat Drupal 8 of 9 sites binnenkort updaten naar tenminste Drupal 10.6. Drupal 8 en 9 bevatten talloze andere, eerder onthulde, beveiligingsproblemen die niet zullen worden aangepakt door Drupal Steward of de best-effort patchbestanden.”
Drupal merkte ook op dat Drupal 7 geen last heeft van het probleem. Sites op elke versie van Drupal 9 wordt geadviseerd om te updaten naar 9.5.11, en sites op elke versie van Drupal 8 moeten updaten naar Drupal 8.9.20.
