Drupal forbereder patch til særdeles kritisk sårbarhed

Drupal‑projektet har varslet en kommende sikkerhedsopdatering til en highly critical sårbarhed i CMS‑platformen. Ifølge udviklerne kan sårbarheden blive udnyttet af angribere inden for timer eller få dage efter, at den bliver offentliggjort.

Det skriver Security Week og en række andre medier.

I en meddelelse oplyser Drupal Security Team, at patches til alle understøttede versioner vil blive frigivet 20. maj mellem kl. 17:00 og 21:00 UTC. Brugere opfordres til at være klar til at vurdere deres installationer i release‑vinduet.

“Reserve time on May 20 during the release window to determine whether your sites are affected and in need of an immediate update,” skriver udviklerne.

Der er endnu ingen tekniske detaljer om sårbarheden, og den er heller ikke tildelt et EUVD/CVE id-nummer. Drupal understreger, at hverken Security Team eller andre parter vil dele yderligere information, før den officielle sikkerhedsmeddelelse offentliggøres sammen med patches og eventuelle afbødende tiltag.

Ifølge Drupal vurderes det, at der kan blive udviklet exploit‑kode kort tid efter offentliggørelsen, hvilket er baggrunden for den tidlige advarsel.

Det fremgår, at patches vil blive udgivet til følgende Drupal‑versioner:

• 11.3.x
• 11.2.x
• 10.6.x
• 10.5.x

Drupal udsender løbende sikkerhedsopdateringer, og der er allerede blevet rettet omkring 40 sårbarheder i 2026. Kun få af disse har dog haft en kritisk alvorlighedsgrad, og betegnelsen “highly critical” har ikke været anvendt i flere år.

Der har heller ikke været offentligt kendte tilfælde af aktiv udnyttelse af nye Drupal‑sårbarheder siden 2019. I årene forinden blev flere alvorlige fejl - herunder de såkaldte Drupalgeddon og Drupalgeddon2 - anvendt i stor skala til kompromittering af websites kort efter offentliggørelse.

Den kommende advisory forventes at indeholde både patches og midlertidige afhjælpende foranstaltninger.