- Автор темы
- #1
Разработчики Drupal предупредили пользователей о выходе «высококритичных» обновлений безопасности для CMS. Патчи для еще нераскрытой уязвимости появятся сегодня, 20 мая 2026 года, и команда проекта прямо советует администраторам заранее зарезервировать время на срочное обновление сайтов. По словам разработчиков, эксплоиты могут появиться «в течение часов или дней» после раскрытия данных о проблеме.
Пока представители Drupal не раскрывают никаких технических подробностей о баге, но сам формат предупреждения и формулировки в нем уже вызвали тревогу в ИБ-сообществе. Дело в том, что критические баги в Drupal находят регулярно, однако пометка «highly critical» не появлялась в бюллетенях безопасности проекта уже несколько лет.
Пока неизвестно, идет ли речь о RCE, обходе аутентификации или другой опасной проблеме. Отметим, что о массовой эксплуатации новых уязвимостей Drupal в реальных атаках не сообщалось с 2019 года.
В прошлом ситуация была куда хуже: достаточно вспомнить уязвимости Drupalgeddon (CVE-2014-3704, SQL-инъекция) и Drupalgeddon2, с помощью которых злоумышленники массово взламывали сайты по всему интернету.
Теперь сообщается, что патчи выйдут для всех поддерживаемых веток ядра Drupal:
• 11.3.x;
• 11.2.x;
• 10.6.x;
• 10.5.x.
Также разработчики рекомендуют администраторам заранее обновиться хотя бы до последних патч-релизов внутри своих веток, чтобы избежать проблем во время срочного обновления. Для старых minor-версий тоже выпустят временные исправления: Drupal 11.0 и 11.1 нужно обновить минимум до 11.1.9; Drupal 10.0–10.4 — минимум до 10.4.9. После установки экстренных патчей владельцам сайтов советуют как можно быстрее перейти на актуальные ветки 11.3 или 10.6.
Отдельно разработчики предупредили пользователей Drupal 8 и 9. Эти версии уже не поддерживаются, однако даже для них подготовят best-effort-патчи (без каких-либо гарантий стабильности). Их придется устанавливать вручную для Drupal 8.9 и 9.5.
При этом команда проекта подчеркивает, что такие исправления могут вызывать сбои и не закрывают другие старые уязвимости, накопившиеся в неподдерживаемых ветках. Поэтому владельцам сайтов на Drupal 8 и 9 настоятельно рекомендуют срочно перейти хотя бы на Drupal 10.6.
Пока представители Drupal не раскрывают никаких технических подробностей о баге, но сам формат предупреждения и формулировки в нем уже вызвали тревогу в ИБ-сообществе. Дело в том, что критические баги в Drupal находят регулярно, однако пометка «highly critical» не появлялась в бюллетенях безопасности проекта уже несколько лет.
Пока неизвестно, идет ли речь о RCE, обходе аутентификации или другой опасной проблеме. Отметим, что о массовой эксплуатации новых уязвимостей Drupal в реальных атаках не сообщалось с 2019 года.
В прошлом ситуация была куда хуже: достаточно вспомнить уязвимости Drupalgeddon (CVE-2014-3704, SQL-инъекция) и Drupalgeddon2, с помощью которых злоумышленники массово взламывали сайты по всему интернету.
Теперь сообщается, что патчи выйдут для всех поддерживаемых веток ядра Drupal:
• 11.3.x;
• 11.2.x;
• 10.6.x;
• 10.5.x.
Также разработчики рекомендуют администраторам заранее обновиться хотя бы до последних патч-релизов внутри своих веток, чтобы избежать проблем во время срочного обновления. Для старых minor-версий тоже выпустят временные исправления: Drupal 11.0 и 11.1 нужно обновить минимум до 11.1.9; Drupal 10.0–10.4 — минимум до 10.4.9. После установки экстренных патчей владельцам сайтов советуют как можно быстрее перейти на актуальные ветки 11.3 или 10.6.
Отдельно разработчики предупредили пользователей Drupal 8 и 9. Эти версии уже не поддерживаются, однако даже для них подготовят best-effort-патчи (без каких-либо гарантий стабильности). Их придется устанавливать вручную для Drupal 8.9 и 9.5.
При этом команда проекта подчеркивает, что такие исправления могут вызывать сбои и не закрывают другие старые уязвимости, накопившиеся в неподдерживаемых ветках. Поэтому владельцам сайтов на Drupal 8 и 9 настоятельно рекомендуют срочно перейти хотя бы на Drupal 10.6.