Drupal объявил о запланированном выпуске обновления безопасности ядра для всех поддерживаемых веток, намеченном на 20 мая 2026 года в окне с 17:00 до 21:00 UTC. Команда безопасности Drupal предупредила, что эксплойты могут появиться в течение часов или дней после публикации, и призвала администраторов зарезервировать время для немедленного обновления. Затронуты ветки Drupal 11.3.x, 11.2.x, 10.6.x и 10.5.x, а также — в порядке исключения — устаревшие минорные версии. Drupal 7, как сообщается, не подвержен данной проблеме.

Что известно об уязвимости

Точный характер уязвимости на данный момент не раскрыт — идентификатор CVE и оценка CVSS отсутствуют. Однако несколько косвенных признаков указывают на высокую степень серьёзности проблемы:

• Drupal принял нетипичное решение выпустить патчи для устаревших минорных веток 11.1.x и 10.4.x, которые уже не получают штатной поддержки.
• Команда безопасности прямо предупредила о возможности быстрого появления эксплойтов после публикации деталей.
• Для сайтов на полностью устаревших мажорных версиях (Drupal 8 и 9) подготовлены ручные патчи — мера, которая применяется только в случае серьёзных угроз.

Согласно официальной странице расписания релизов Drupal, не все конфигурации подвержены уязвимости. Информация о способах смягчения последствий будет включена в бюллетень безопасности, который опубликуют в день выпуска патча.

Затронутые версии и целевые обновления

Патчи ожидаются для следующих поддерживаемых веток Drupal core:

• 11.3.x
• 11.2.x
• 10.6.x
• 10.5.x

Для сайтов на устаревших минорных версиях Drupal предоставил следующие рекомендации по предварительному обновлению:

• Сайты на Drupal 11.1 или 11.0 — обновиться как минимум до Drupal 11.1.9.
• Сайты на Drupal 10.4, 10.3, 10.2, 10.1 или 10.0 — обновиться как минимум до Drupal 10.4.9.
• Сайты на любой версии Drupal 9 — обновиться до 9.5.11.
• Сайты на любой версии Drupal 8 — обновиться до 8.9.20.

Для Drupal 8.9 и 9.5 будут предоставлены файлы патчей, которые потребуется применить вручную. Drupal предупредил, что гарантии корректной работы этих исправлений нет — они могут привести к регрессиям или другим проблемам. Тем не менее, как сообщается, эти патчи способны помочь в смягчении уязвимости до момента миграции на поддерживаемую версию.

Оценка воздействия

Drupal остаётся одной из наиболее распространённых CMS корпоративного уровня, широко используемой государственными учреждениями, образовательными организациями и крупными предприятиями. Решение выпустить патчи даже для версий, давно вышедших из поддержки, свидетельствует о том, что команда безопасности оценивает потенциальное воздействие как значительное.

Особую обеспокоенность вызывает ситуация с сайтами на Drupal 8 и 9. Drupal прямо указал, что эти мажорные версии содержат многочисленные ранее раскрытые уязвимости, которые не будут устранены ни программой Drupal Steward, ни предоставляемыми патчами. Это означает, что даже после применения экстренного исправления такие сайты останутся уязвимыми к другим известным атакам.

Практические рекомендации

Для минимизации рисков до и во время окна обновления 20 мая рекомендуется следующий порядок действий:

1. До 20 мая: обновите сайт до последнего доступного патча для вашей ветки Drupal. Это позволит устранить потенциальные проблемы совместимости заранее и упростит применение обновления безопасности.
2. 20 мая, 17:00–21:00 UTC: отслеживайте публикацию бюллетеня безопасности на странице расписания релизов Drupal. Определите, затронута ли ваша конфигурация, и примените патч немедленно.
3. Для сайтов на Drupal 8 и 9: примените ручные патчи для версий 8.9 и 9.5 соответственно, но запланируйте миграцию на Drupal 10.6 или выше в ближайшей перспективе.
4. После обновления: сайты на устаревших минорных версиях (11.1.x, 10.4.x) должны в кратчайшие сроки перейти на поддерживаемые ветки — Drupal 11.3 или 10.6.

Администраторам сайтов на поддерживаемых ветках Drupal 10.x и 11.x следует обновить ядро до последнего патча текущей ветки уже сейчас, а 20 мая — оперативно применить обновление безопасности в рамках объявленного окна. Сайтам на Drupal 8 и 9 критически важно не ограничиваться экстренным патчем, а начать планирование полноценной миграции на Drupal 10.6 или новее — только это обеспечит защиту от накопленного технического долга в области безопасности.