Das Drupal Security Team hat Website-Betreiber aufgefordert, Zeit für die Durchführung von Core-Updates am 20. Mai 2026 einzuplanen. Bemerkenswert ist dabei, dass Drupal selbst die genaue Art der Sicherheitslücke noch nicht offenbart hat — eine übliche Praxis, um Angreifer vor der Veröffentlichung von Exploits abzuhalten. Die Tatsache, dass das Team von potenziellen Exploits innerhalb von Stunden oder Tagen spricht, deutet auf eine besonders schwerwiegende Schwachstelle hin.
Für die kommende Update-Phase werden Patches für Drupal 11.1.x, 10.4.x und weitere unterstützte Versionen verfügbar sein. Drupal empfiehlt Website-Betreibern, bereits jetzt auf die neuesten Patch-Versionen ihrer jeweiligen Drupal-Version zu aktualisieren. Dies soll sicherstellen, dass potenzielle Upgrade-Probleme vor dem kritischen Update-Fenster am 20. Mai gelöst werden können.
Problematisch ist die Situation für Anwender veralteter Drupal-Versionen. Für Sites, die noch auf den auslaufenden Versionen Drupal 8 und 9 laufen, wird Drupal zwar Best-Effort-Patch-Dateien bereitstellen, garantiert aber nicht, dass diese fehlerfrei funktionieren. Das Team warnt ausdrücklich: Diese Patches könnten andere Probleme oder Regressions-Fehler verursachen. Drupal 8-Nutzer sollten auf Version 8.9.20 aktualisieren, Drupal 9-Nutzer auf 9.5.11.
Drupal legt den betroffenen Betreibern dringend nahe, mittelfristig auf Drupal 10.6 oder Drupal 11.3 zu migrieren. Ältere Versionen bergen zahlreiche weitere bekannte, nicht mehr gepatchte Sicherheitslücken. Drupal 7 ist nach aktuellem Stand nicht betroffen.
Für deutsche Behörden und größere Unternehmen empfiehlt sich eine zeitnahe Bestandsaufnahme: Welche Drupal-Versionen sind im Einsatz? Wie wird mit dem Update-Zeitfenster umgegangen? Ein strukturiertes Patch-Management und eine funktionierende Notfall-Kommunikationskette sind jetzt essentiell.