Zespół CERT Polska informuje o krytycznej podatności w systemie Drupal.
Producent zapowiedział publikację poprawki bezpieczeństwa dla komponentu Drupal core w dniu 20 maja w godzinach 19:00 - 23:00 (CEST). Zalecane jest zarezerwowanie czasu na aktualizację w tym przedziale, ponieważ podatność może zostać wykorzystana w bardzo krótkim czasie - nawet w ciągu kilku godzin od ujawnienia szczegółów.
Na obecnym etapie szczegóły techniczne nie zostały ujawnione. Wiadomo, że podatność nie dotyczy wszystkich konfiguracji. Dodatkowe informacje, w tym warunki wykorzystania podatności oraz ewentualne dodatkowe działania naprawcze, zostaną opublikowane wraz z aktualizacją.
Podatność dotyczy następujących wersji:
Drupal 11 (11.3 i starsze)
Drupal 10 (10.6 i starsze)
Drupal 9 (9.5 i starsze)
Drupal 8 (8.9 i starsze)
Zalecenia dla administratorów Drupal:
Należy zaktualizować system do najnowszej dostępnej wersji w ramach używanej gałęzi jeszcze przed oknem publikacji.
Systemy działające na wspieranych wersjach (11.3.x, 11.2.x, 10.6.x, 10.5.x) powinny zostać zaktualizowane do najnowszych wydań w tych gałęziach.
Systemy na starszych, niewspieranych wersjach z gałęzi 10 oraz 11 powinny zostać podniesione co najmniej do:
Drupal 11.1.9 (dla wersji 11.0-11.1),
Drupal 10.4.9 (dla wersji 10.4 i starszych).
W przypadku wersji Drupal 8 i 9 możliwe będzie zastosowanie ręcznych poprawek - zalecana jest jednak migracja do Drupal 10.6 lub nowszego.
W czasie okna publikacji należy zapewnić możliwość niezwłocznego wdrożenia poprawki po jej udostępnieniu.
Prosimy o zapoznanie się z oficjalnym komunikatem Drupal i stosowanie do zawartych w nim zaleceń: https://www.drupal.org/psa-2026-05-18. Zalecane jest również bieżące śledzenie komunikatów zespołu bezpieczeństwa Drupal: https://www.drupal.org/security.