(Bild: JLStock/Shutterstock.com). Für Drupal Core erscheint am Abend des Mittwochs, 20. Mai, ein dringendes Sicherheitsupdate. Admins sollten es zügig installieren.. Die Maintainer des quelloffenen Content-Management-Systems Drupal haben angekündigt, am Abend des Mittwochs, 20. Mai 2026, ein hochkritisches Sicherheitsupdate für Drupal Core veröffentlichen zu wollen. IT-Verantwortliche sollten es zeitnah installieren.. In der Vorankündigung des Sicherheitspatches schreibt das Drupal-Sicherheitsteam [1], dass die Aktualisierung zwischen 19 und 23 Uhr hiesiger Zeit erscheinen soll (17:00-21:00h UTC). Die Entwickler weisen darauf hin, dass Admins sich dringend die Zeit für das Anwenden des Drupal-Core-Updates nehmen sollten, da Exploits innerhalb von Stunden oder Tagen nach der Veröffentlichung des Fixes entwickelt werden könnten.. Immerhin, es sollen nicht alle Drupal-Konfigurationen gleichermaßen betroffen sein. Zu den Einschränkungen schreiben die Programmierer noch nichts, jedoch sollen Admins zum Zeitpunkt der Veröffentlichung prüfen, ob ihre Instanzen betroffen sind und ein sofortiges Update benötigen.. Updates nur für unterstützte Versionen. Die Aktualisierungen soll es eigentlich nur für die noch unterstützten Drupal-Core-Versionen 11.3.x, 11.2.x, 10.6.x und 10.5.x geben. Als Ausnahme kommen nun jedoch auch Patches für Drupal Core 11.1.x und 10.4.x hinzu, obwohl die bereits am Ende des Produkt-Supportzyklus angelangt sind. Als Begründung nennen die Entwickler den Schweregrad des Problems. Selbst für Drupal Core 9.5 und 8.9 legt das Sicherheitsteam korrigierte Software bereit.. Damit sich die Updates anwenden lassen, sollen Installationen mit Drupal Core 11.1 und 11.0 auf den Stand 11.1.9 aktualisiert werden, die Entwicklungszweige 10.4, 10.3, 10.2, 10.1 und 10.0 hingegen benötigen zuvor den Stand 10.4.9. Für die noch älteren Fassungen sind Drupal Core 9.5.11 und 8.9.20 Voraussetzung. Wer noch Drupal Core 7 einsetzt, ist von dem konkreten Problem nicht betroffen.. Am heutigen Abend soll die Verfügbarkeit des Sicherheitsupdates dann auf der Sicherheitsseite von Drupal [2] sowie in den sozialen Medien angekündigt werden. Drupal [3]-Core-Admins sollten in dem Zeitraum regelmäßig prüfen, ob das Update verfügbar ist, und es umgehend anwenden.. (dmk [5]). URL dieses Artikels:. https://www.heise.de/-11300021. Links in diesem Artikel:. https://www.drupal.org/psa-2026-05-18. https://www.drupal.org/security. https://www.heise.de/thema/Drupal. https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp. mailto:dmk@heise.de. Copyright © 2026 Heise Medien
heise security News