Drupal hat eine kritische Sicherheitslücke angekündigt, die laut eigener Warnung ein hohes Risiko für schnelle Ausnutzung durch Cyberkriminelle birgt. Die Sicherheitslücke betrifft Drupal Core ab Version 8, wobei die genauen technischen Details zunächst unter Verschluss bleiben – ein bewusster Schritt, um zu verhindern, dass detaillierte Exploit-Informationen vor dem Update-Termin in Umlauf geraten.
Website-Administratoren wurden aufgefordert, Zeit für das Core-Update am 20. Mai zwischen 17:00 und 21:00 UTC einzuplanen. Besitzer von Drupal 8 oder 9 sollten auf mindestens Version 10.6 aktualisieren. Für neuere Versionen stehen folgende Updates bereit: Drupal 11.1.9 und 10.4.9. Obwohl Versionen 11.1x und 10.4x offiziell nicht mehr unterstützt werden, erhalten sie wegen der Schweregrad-Einstufung dennoch Patches.
Die bereits aus dem Support genommenen Versionen 8 und 9 erhalten keine Patches, doch bietet Drupal für die letzten Minor-Versionen (9.5 und 8.9) Hotfix-Dateien an. Systeme, die bereits Drupal Steward nutzen, genießen bereits Schutz gegen bekannte Angriffsvektoren – ein Update wird gleichwohl empfohlen.
Drupal warnt ausdrücklich vor betrügerischen Informationen, die möglicherweise online auftauchen. Administratoren sollten sich nur auf offizielle Quellen verlassen und das Security Portal der Plattform überwachen. Das Unternehmen betont: Weder das Security Team noch andere Parteien können bis zur offiziellen Ankündigung weitere Informationen preisgeben.
Die Schwachstelle unterstreicht die Wichtigkeit regelmäßiger Sicherheitsupdates für CMS-Systeme, zumal Drupal in Behörden, Universitäten und großen Organisationen weltweit eingesetzt wird. Für deutsche Institutionen gelten zusätzliche Compliance-Anforderungen: Betroffene Unternehmen und Behörden müssen potenzielle Datenschutzverletzungen dokumentieren und gegebenenfalls melden.