Actualización de seguridad crítica en Drupal
No todas las configuraciones se ven afectadas. Cuando se publique el parche se indicará cuáles sí lo están. Sin embargo, en el comunicado, se habla de las siguientes versiones.
Drupal 10 y 11
Las ramas de Drupal con soporte:
- 11.3.x
- 11.2.x
- 10.6.x
- 10.5.x
Versiones menores del core de Drupal que ya no tienen soporte (Drupal 10 y 11)
Debido a la severidad del problema, se proporcionará una actualización para este fallo, pero únicamente para las versiones 11.1.9 y 10.4.9; por lo que se recomienda a todos los administradores de Drupal que utilicen las versiones 10 u 11, que antes de mañana a la hora de la actualización tengan sus sistemas actualizados a las versiones indicadas:
- Sitios con Drupal 11.1 u 11.0, actualizar antes de mañana, como mínimo, a la versión 11.1.9
- Sitios con Drupal 10.4, 10.3, 10.2, 10.1 o 10.0, actualizar antes de mañana, como mínimo, a la versión 10.4.9
Estos sitios deben instalar la actualización de seguridad tan pronto como se lance el 20 de mayo y, en un futuro cercano, actualizar sus sistemas a Drupal 11.3 o 10.6.
Versiones del core de Drupal que ya no tienen soporte (Drupal 8 y 9)
Estas versiones están completamente fuera del ciclo de vida, así que no se van a crear actualizaciones para estas ramas. Sin embargo, debido a la severidad de la actualización, se proporcionarán ficheros con el parche para Drupal 8.9 y 9.5.
Estos parches deberán instalarse manualmente y no hay garantías de que funcionen correctamente; asimismo, puede ser que introduzcan otros fallos o regresiones.
Para intentar que el fichero del parche funcione lo mejor posible, se recomienda:
- Para sitios con cualquier versión de Drupal 9, estar actualizados a Drupal 9.5.11
- Para sitios con cualquier versión de Drupal 8, estar actualizados a Drupal 8.9.20
Para estos productos se recomienda actualizar lo antes posible a versiones con soporte, como mínimo, Drupal 10.6, ya que las versiones 8 y 9 de Drupal ya cuentan con muchísimos fallos y problemas de seguridad sin resolver.
Drupal 7
No se ve afectado por este problema.
General
En cualquier caso, para las versiones 10 y 11 el problema no se puede explotar en los sitios protegidos por Drupal Steward, los los cuales están protegidos de los vectores de ataque conocidos. No obstante, se recomienda igualmente su actualización para evitar vectores de ataque adicionales que puedan ir surgiendo.
Para las versiones 8 y 9, estas versiones contienen muchas otras vulnerabilidades de seguridad que ya han sido previamente divulgadas y que no serán abordadas por Drupal Steward o los archivos de parche.
Drupal ha emitido un comunicado en el que informa de una actualización de seguridad crítica en todos sus sistemas que se hará pública el 20 de mayo de 2026 entre las 19:00 y 23:00 horas (17:00 y 21:00 horas UTC).
Para versiones de Drupal sin soporte, en primer lugar, actualizar el sistema a alguna versión válida para la actualización.
El 20 de mayo, cuando se lance la actualización, comprobar si su versión del producto se ve afectada por la vulnerabilidad y, en caso afirmativo, instalar la actualización lo antes posible.
Drupal ha emitido un comunicado en el que informa del lanzamiento de un parche de seguridad de importancia crítica. Por su parte, recomiendan instalar el parche lo antes posible ya que temen que, en cuanto se publique la solución, rápidamente aparezcan exploits para aprovechar el fallo.
El anuncio del lanzamiento lo harán en su página web de https://www.drupal.org/security y en sus redes sociales de Bluesky, Mastodon, X (anteriormente Twitter) y LinkedIn. Asimismo, todos aquellos usuarios que estén suscritos a los boletines y avisos de Drupal, también se podrán enterar de la noticia por correo electrónico.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
