O Drupal publicou um alerta informando que pretende lançar uma atualização de segurança para o núcleo do sistema em todas as ramificações com suporte no dia 20 de maio de 2026, entre 17h e 21h, no horário UTC.
A equipe de segurança do Drupal pediu que administradores reservem esse período para as atualizações do núcleo, já que exploits podem ser desenvolvidos em questão de horas ou dias, segundo os mantenedores do CMS baseado em PHP.
Nem todas as configurações serão afetadas.
Ainda assim, o alerta recomenda que o período de 20 de maio seja reservado para verificar se os sites estão vulneráveis e se precisam de uma atualização imediata.
As informações de mitigação serão incluídas no comunicado oficial.
A orientação é atualizar, antes do prazo, para o patch mais recente compatível com a versão do Drupal usada no site, a fim de resolver eventuais pendências de atualização.
As correções devem estar disponíveis para as seguintes ramificações com suporte do núcleo do Drupal:
11.3.x
11.2.x
10.6.x
10.5.x
“Os sites em uma dessas versões com suporte devem atualizar agora para a versão de patch mais recente da respectiva ramificação, em preparação para a janela de segurança”, informou o Drupal.
Ainda não se sabe qual é exatamente o problema de segurança que será corrigido, mas a expectativa é de que ele seja grave.
Isso porque o Drupal também está disponibilizando versões para as ramificações 11.1.x e 10.4.x, destinadas a sites que ainda rodam versões menores do núcleo já fora de suporte.
Antes da janela de atualização planejada, a recomendação é a seguinte:
Sites em Drupal 11.1 ou 11.0 devem atualizar para, no mínimo, Drupal 11.1.9.
Sites em Drupal 10.4, 10.3, 10.2, 10.1 ou 10.0 devem atualizar para, no mínimo, Drupal 10.4.9.
A ideia é que esses sites apliquem a atualização de segurança assim que ela for liberada em 20 de maio e, depois, migrem para Drupal 11.3 ou 10.6 em um prazo próximo.
Para sites ainda em versões principais fora de suporte, como Drupal 8 e 9, será necessário aplicar manualmente os arquivos de patch do Drupal 8.9 e 9.5.
Mesmo assim, o Drupal advertiu que não há garantia de que as correções funcionarão corretamente e acrescentou que elas podem introduzir outros problemas ou regressões.
“Mesmo assim, elas podem ajudar a mitigar a vulnerabilidade em sites que ainda estejam nessas versões principais antigas até que seja feita a migração para uma versão com suporte”, afirmou o Drupal.
“Recomendamos fortemente que sites em Drupal 8 ou 9 atualizem o quanto antes para, no mínimo, Drupal 10.6.
Drupal 8 e 9 incluem diversas outras vulnerabilidades de segurança já divulgadas anteriormente, que não serão tratadas pelo Drupal Steward nem pelos arquivos de patch aplicados em caráter de melhor esforço.”
O Drupal também observou que o Drupal 7 não é afetado pelo problema.
Sites em qualquer versão do Drupal 9 devem atualizar para 9.5.11, enquanto os que usam qualquer versão do Drupal 8 devem migrar para Drupal 8.9.20.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...