Drupal hat angekündigt, am 20. Mai 2026 von 17 bis 21 Uhr UTC ein „Core Security Release" für alle unterstützten Versionszweige seines Content-Management-Systems zu veröffentlichen. Das Drupal Security Team fordert Betreiber auf, sich für diesen Zeitraum Zeit für die Updates zu reservieren, da Exploits „binnen Stunden oder Tagen" entwickelt werden könnten.

Welche Sicherheitslücke geschlossen wird, ist derzeit nicht öffentlich. Dass Drupal jedoch auch Releases der Versionen 11.1.x und 10.4.x für Seiten bereitstellt, die auf ausgelaufenen Minor-Versionen laufen, deutet auf eine schwerwiegende Schwachstelle hin. Die zugehörigen Hinweise zur Schadensbegrenzung sollen Teil des Advisorys sein.

Das Projekt empfiehlt, Seiten auf einer der unterstützten Versionen bereits jetzt auf das aktuellste Patch-Release des jeweiligen Zweigs zu bringen, um für das Sicherheitsfenster vorbereitet zu sein. Seiten auf ausgelaufenen Minor-Versionen sollen das Update am 20. Mai unmittelbar nach Erscheinen einspielen und anschließend zeitnah auf Drupal 11.3 oder 10.6 wechseln.

Für Seiten, die noch auf ausgelaufenen Hauptversionen wie Drupal 8 und 9 laufen, müssen Patch-Dateien für Drupal 8.9 und 9.5 manuell angewendet werden. Drupal warnt allerdings, dass es keine Garantie für deren korrekte Funktion gebe und sie weitere Probleme oder Regressionen verursachen könnten. Sie könnten jedoch dabei helfen, die Schwachstelle für Seiten auf diesen alten Hauptversionen zu entschärfen, bis ein Wechsel auf eine unterstützte Version erfolgt.

Nachdrücklich rät das Projekt Betreibern von Drupal 8 oder 9, bald mindestens auf Drupal 10.6 zu aktualisieren. Diese alten Versionen enthielten zahlreiche weitere, bereits offengelegte Sicherheitslücken, die weder durch Drupal Steward noch durch die bestmöglich erstellten Patch-Dateien behoben würden. Seiten auf einer beliebigen Drupal-9-Version sollten auf 9.5.11 aktualisieren, Seiten auf einer Drupal-8-Version auf 8.9.20.

Drupal 7 ist von dem Problem nach Angaben des Projekts nicht betroffen.