Kritische Sicherheitslücke im Drupal-Core gefährdet Websites durch Cyberangriffe

Drupal-Core-Sicherheitslücke Der Vorfall betrifft alle derzeit unterstützten Drupal-Core-Branches, darunter: Drupal 11.3.x und 11.2.x Drupal 10.6.x und 10.5.x In einem ungewöhnlichen Schritt, der die Schwere des Mangels widerspiegelt, veröffentlicht Drupal zudem Sicherheitspatches für ältere, nicht mehr unterstützte Versionen: Drupal 11.1.x und 10.4.x erhalten begrenzte Sicherheitsupdates.

Für Drupal 8.9.x und 9.5.x werden manuelle Patches bereitgestellt. Drupal 7 ist Lücke nicht betroffen. Obwohl nicht alle Konfigurationen verwundbar sind, wird Administratoren dringend empfohlen, bis ein Gegenteil bestätigt ist, möglichen Exposition auszugehen.

Das Drupal Security Team warnt davor, dass nach der Offenlegung schnell ausgereifte Exploits entwickelt werden könnten. Dies führt zu einem sehr begrenzten Reaktionsfenster für Verteidiger. Angreifer rekonstruieren Patches häufig, Schwachstellen zu identifizieren, wodurch verzögerte Updates ein erhebliches Risiko darstellen.

Sicherheitslage und Risiko

Ein typischer Angriffsszenario könnte beispielsweise darin bestehen, dass ein nicht authentifizierter Angreifer die Schwachstelle ausnutzt, Site-Daten zu manipulieren oder erweiterte Zugriffsrechte zu erlangen – abhängig ägung der Verwundbarkeit.

Organisationen, die Drupal-Websites betreiben, sollten unverzüglich vorbereitende Maßnahmen ergreifen: Aktualisieren Sie die Software auf die neueste verfügbare Patch-Version vor dem 20. Mai. Reservieren Sie Wartungszeitraum während des Veröffentlichungsfensters (– UTC). Setzen Sie das Sicherheitsupdate sofort nach der Veröffentlichung um.

Planen Sie Upgrades auf unterstützte Versionen wie Drupal 11.3 oder 10.6. Für Drupal 11.0/11.1 ist ein Upgrade mindestens auf Version 11.1.9 erforderlich. Drupal 10.0 bis 10.4: Aktualisieren Sie mindestens auf Version 10.4.9.

Sicherheitslage und Risiko

Für Drupal 9 ist ein Upgrade auf 9.5.11 vor dem Anwenden 8 muss zunächst auf Version 8.9.20 aktualisiert werden, bevor Patches angewendet werden. Manuelle Patches für Drupal 8 und 9 sind nicht garantiert funktionsfähig und können Instabilitäten führen; sie dienen jedoch einer vorläufigen Minderung.

Websites, die Drupal Steward nutzen, verfügen bereits über Schutz vor bekannten Angriffsvektoren. Das Drupal Security Team hat eine vorläufige Ankündigung unter der Richtlinie PSA-2026-05-18 veröffentlicht und warnt, dass eine Ausnutzung innerhalb weniger Stunden nach der öffentlichen Bekanntgabe erfolgen könnte.

Administratoren werden dennoch dringend aufgefordert, die offiziellen Patches unverzüglich anzuwenden, um sich gegen neu entdeckte Ausnutzungsmethoden zu schützen. Die vollständigen technischen Details werden am 20. Mai über die offizielle Sicherheitsrichtlinien-Seite über Kommunikationskanäle wie E-Mail-Benachrichtigungen und soziale Medien veröffentlicht.

Sicherheitslage und Risiko

Schlüsselmitglieder des Drupal Security Teams koordinieren die Reaktionsbemühungen. Angesichts der potenziellen Auswirkungen unterstreicht diese Schwachstelle die Bedeutung eines proaktiven Patch-Managements und einer zeitnahen Reaktion.

Organisationen, die auf Drupal angewiesen sind, sollten diese Richtlinie mit Dringlichkeit behandeln, um mögliche Kompromittierungen zu verhindern. Abi ist Sicherheitsredakteurin und Reporterin bei