Drupal kündigt Patch für „hochkritische" Schwachstelle an
Automatisiert erstellt von CyberDeutsch
Zusammenfassung
Das Drupal-Projekt warnt seine Nutzer vor einer als „hochkritisch" eingestuften Schwachstelle und bereitet einen Patch vor, der nach der Offenlegung schnell zum Ziel von Angreifern werden könnte. Laut einer Mitteilung, die die Entwickler des quelloffenen Content-Management-Systems in dieser Woche veröffentlicht haben, sollen die Korrekturen für alle unterstützten Versionen am 20. Mai zwischen 17:00 und 21:00 UTC erscheinen. Das CMS betreibt nach Angaben des Projekts Hunderttausende Websites. Die Entwickler raten den Betreibern, sich für das Veröffentlichungsfenster Zeit einzuplanen, um zu prüfen, ob ihre Websites betroffen sind und sofort aktualisiert werden müssen; Hinweise zur Schadensbegrenzung sollen Teil der Sicherheitsmeldung sein. Sie gehen davon aus, dass ein Exploit für die Lücke binnen Stunden oder Tagen nach der Offenlegung entwickelt werden „könnte". Weitere Einzelheiten zu der Schwachstelle nennt das Projekt vorerst nicht: Bis zur Ankündigung sei weder das Sicherheitsteam noch eine andere Partei in der Lage, zusätzliche Informationen herauszugeben. Bemerkenswert ist die Einstufung, weil es seit Jahren keine als „hochkritisch" bewertete Drupal-Lücke mehr gegeben hat.
Patches sind für die Drupal-Versionen 11.3.x, 11.2.x, 10.6.x und 10.5.x vorgesehen. Die Entwickler empfehlen, sich für den 20. Mai während des Veröffentlichungsfensters Zeit zu reservieren, um die eigenen Websites zu überprüfen und gegebenenfalls umgehend zu aktualisieren. Angaben zur Schadensbegrenzung sollen erst mit der Sicherheitsmeldung verfügbar sein.
Bis zu dieser Ankündigung halten sich die Verantwortlichen bedeckt: Nach eigenen Angaben kann weder das Sicherheitsteam noch eine andere Stelle vorab zusätzliche Informationen zu der Lücke veröffentlichen. Zugleich rechnen die Entwickler damit, dass ein Exploit binnen Stunden oder Tagen nach der Offenlegung entstehen könnte.
Schwachstellen werden in Drupal regelmäßig geschlossen; im Jahr 2026 wurden bislang 40 Probleme behoben. Kritische Lücken sind darunter jedoch selten, und eine als „hochkritisch" eingestufte Schwachstelle hat es seit Jahren nicht mehr gegeben.
Auch von aktiv ausgenutzten Drupal-Lücken war zuletzt nichts zu hören: Seit 2019 gab es keine Berichte mehr über neue Schwachstellen, die in freier Wildbahn angegriffen wurden. In den Jahren davor wurden mehrere Lücken ausgenutzt, darunter die als Drupalgeddon und Drupalgeddon2 bekannt gewordenen Schwachstellen, über die zahlreiche Websites kompromittiert wurden.