Drupal оголосив про запланований випуск оновлення безпеки ядра для всіх підтримуваних гілок, призначений на 20 травня 2026 року у вікні з 17:00 до 21:00 UTC. Команда безпеки Drupal попередила, що експлойти можуть з’явитися впродовж годин або днів після публікації й закликала адміністраторів зарезервувати час для негайного оновлення. Під удар потрапляють гілки Drupal 11.3.x, 11.2.x, 10.6.x і 10.5.x, а також — як виняток — застарілі мінорні версії. Drupal 7, за наявною інформацією, не вразливий до цієї проблеми.

Що відомо про вразливість

Точний характер вразливості наразі не розкрито — ідентифікатор CVE та оцінка CVSS відсутні. Водночас кілька непрямих ознак указують на високу серйозність проблеми:

• Drupal ухвалив нетипове рішення випустити патчі для застарілих мінорних гілок 11.1.x і 10.4.x, які вже не перебувають на штатній підтримці.
• Команда безпеки прямо попередила про можливість швидкої появи експлойтів після оприлюднення деталей.
• Для сайтів на повністю застарілих мажорних версіях (Drupal 8 і 9) підготовлено ручні патчі — захід, до якого вдаються лише у випадку серйозних загроз.

Відповідно до офіційної сторінки графіка релізів Drupal, не всі конфігурації є вразливими. Інформацію про способи пом’якшення наслідків буде включено до бюлетеня безпеки, який опублікують у день випуску патча.

Уражені версії та цільові оновлення

Патчі очікуються для таких підтримуваних гілок Drupal core:

• 11.3.x
• 11.2.x
• 10.6.x
• 10.5.x

Для сайтів на застарілих мінорних версіях Drupal надано такі рекомендації щодо попереднього оновлення:

• Сайтам на Drupal 11.1 або 11.0 — оновитися щонайменше до Drupal 11.1.9.
• Сайтам на Drupal 10.4, 10.3, 10.2, 10.1 або 10.0 — оновитися щонайменше до Drupal 10.4.9.
• Сайтам на будь-якій версії Drupal 9 — оновитися до 9.5.11.
• Сайтам на будь-якій версії Drupal 8 — оновитися до 8.9.20.

Для Drupal 8.9 і 9.5 будуть надані файли патчів, які потрібно буде застосувати вручну. Drupal попередив, що гарантії коректної роботи цих виправлень немає — вони можуть спричинити регресії або інші проблеми. Втім, ці патчі, як повідомляється, можуть допомогти пом’якшити вразливість до моменту міграції на підтримувану версію.

Оцінка впливу

Drupal залишається однією з найпоширеніших CMS корпоративного рівня, яку широко використовують державні установи, освітні організації та великі підприємства. Рішення випустити патчі навіть для версій, давно знятих із підтримки, свідчить про те, що команда безпеки оцінює потенційний вплив як значний.

Особливе занепокоєння викликає ситуація із сайтами на Drupal 8 і 9. Drupal прямо вказав, що ці мажорні версії містять численні раніше розкриті вразливості, які не будуть усунуті ані програмою Drupal Steward, ані наданими патчами. Це означає, що навіть після застосування екстреного виправлення такі сайти залишаться вразливими до інших відомих атак.

Практичні рекомендації

Щоб мінімізувати ризики до та під час вікна оновлення 20 травня, рекомендується такий порядок дій:

1. До 20 травня: оновіть сайт до останнього доступного патча для вашої гілки Drupal. Це дасть змогу заздалегідь усунути потенційні проблеми сумісності та спростить застосування оновлення безпеки.
2. 20 травня, 17:00–21:00 UTC: стежте за публікацією бюлетеня безпеки на сторінці графіка релізів Drupal. Визначте, чи є ваша конфігурація вразливою, і негайно застосуйте патч.
3. Для сайтів на Drupal 8 і 9: застосуйте ручні патчі для версій 8.9 і 9.5 відповідно, але заплануйте міграцію на Drupal 10.6 або новішу версію в найближчій перспективі.
4. Після оновлення: сайти на застарілих мінорних версіях (11.1.x, 10.4.x) мають у найкоротші строки перейти на підтримувані гілки — Drupal 11.3 або 10.6.

Адміністраторам сайтів на підтримуваних гілках Drupal 10.x і 11.x слід уже зараз оновити ядро до останнього патча поточної гілки, а 20 травня — оперативно застосувати оновлення безпеки в межах оголошеного вікна. Сайтам на Drupal 8 і 9 критично важливо не обмежуватися екстреним патчем, а розпочати планування повноцінної міграції на Drupal 10.6 або новішу версію — лише це забезпечить захист від накопиченого технічного боргу у сфері безпеки.