Das Drupal-Sicherheitsteam hat für den Abend des 20. Mai 2026 ein hochkritisches Sicherheitsupdate für Drupal Core angekündigt. Die Einstufung als hochkritisch ist bei Drupal selten und signalisiert, dass aktiver Handlungsbedarf besteht. Wenn du Drupal als CMS einsetzt, solltest du dich auf ein zeitnahes Update vorbereiten und die nächsten Stunden im Blick behalten.
Inhaltsverzeichnis
Deine Website, dein Design – fertig in wenigen Klicks
Erstelle deine eigene Website mit easyname: Wähle aus verschiedenen Designs, gestalte deine Seiten per Drag-and-Drop und verkaufe mit dem integrierten Webshop direkt online. Kein technisches Vorwissen nötig – einfach loslegen, ab 4,90 € im Monat.
Was bisher bekannt ist
Konkrete Details zur Schwachstelle hat das Drupal-Sicherheitsteam bewusst noch nicht veröffentlicht, um potenzielle Angreifer nicht vor der Bereitstellung des Patches mit Informationen zu versorgen. Bekannt ist Folgendes: Das Update soll zwischen 19:00 und 23:00 Uhr mitteleuropäischer Zeit erscheinen (17:00 bis 21:00 UTC). Das Sicherheitsteam rechnet damit, dass nach Veröffentlichung des Fixes innerhalb von Stunden bis wenigen Tagen bereits funktionsfähige Exploits entwickelt werden könnten. Nicht alle Drupal-Konfigurationen sollen gleichermaßen betroffen sein, allerdings gibt es zum jetzigen Zeitpunkt keine näheren Informationen dazu, welche Konfigurationen konkret verwundbar sind.
Die Tatsache, dass das Drupal-Team eine Vorankündigung mit expliziter Warnung herausgibt, unterstreicht die Dringlichkeit. Solche Public Service Announcements (PSAs) erfolgen nur bei besonders gravierenden Sicherheitsproblemen.
Welche Drupal-Versionen betroffen sind
Reguläre Sicherheitsupdates stellt Drupal üblicherweise nur für die aktuell unterstützten Core-Versionen bereit. In diesem Fall sind das die Zweige 11.3.x, 11.2.x, 10.6.x und 10.5.x. Aufgrund der Schwere der Schwachstelle hat das Sicherheitsteam jedoch eine Ausnahme gemacht und stellt zusätzlich Patches für bereits abgekündigte Versionen bereit.
| Drupal-Core-Zweig | Supportstatus | Erhält Patch | Voraussetzung |
|---|---|---|---|
| 11.3.x | Aktiv unterstützt | Ja | Keine besondere |
| 11.2.x | Aktiv unterstützt | Ja | Keine besondere |
| 10.6.x | Aktiv unterstützt | Ja | Keine besondere |
| 10.5.x | Aktiv unterstützt | Ja | Keine besondere |
| 11.1.x / 11.0.x | End of Life | Ja (Ausnahme) | Mindestens Drupal Core 11.1.9 |
| 10.4.x / 10.3.x / 10.2.x / 10.1.x / 10.0.x | End of Life | Ja (Ausnahme) | Mindestens Drupal Core 10.4.9 |
| 9.5.x | End of Life | Ja (Ausnahme) | Mindestens Drupal Core 9.5.11 |
| 8.9.x | End of Life | Ja (Ausnahme) | Mindestens Drupal Core 8.9.20 |
| 7.x | End of Life | Nicht betroffen | Kein Handlungsbedarf |
Dass selbst für Drupal 8.9 und 9.5 noch Patches bereitgestellt werden, ist äußerst ungewöhnlich und zeigt, wie ernst das Drupal-Sicherheitsteam diese Schwachstelle einschätzt. Wenn du eine dieser älteren Versionen im Einsatz hast, solltest du den Patch dennoch als Anlass nehmen, zeitnah auf eine aktiv unterstützte Version zu migrieren.
So bereitest du dich auf das Update vor
Die Zeitspanne zwischen der Veröffentlichung eines Sicherheitspatches und dem Auftauchen erster Exploits kann bei hochkritischen Schwachstellen extrem kurz sein. Eine strukturierte Vorbereitung spart dir im Ernstfall wertvolle Minuten.
Prüfe zunächst, welche Drupal-Core-Version deine Installation aktuell nutzt. Wenn du mit einem älteren Entwicklungszweig arbeitest, stelle sicher, dass die oben genannten Mindestversionen installiert sind, da der Sicherheitspatch diese als Basis voraussetzt. Für Installationen auf den Zweigen 11.1 oder 11.0 bedeutet das ein Update auf mindestens 11.1.9, für die 10.x-Zweige unterhalb von 10.5 wird mindestens 10.4.9 benötigt.
Erstelle vor dem Update ein vollständiges Backup deiner Drupal-Installation, einschließlich Datenbank und Dateisystem. Teste den Update-Prozess nach Möglichkeit zuerst in einer Staging-Umgebung. Halte deinen Composer-Workflow oder dein bevorzugtes Deployment-Tool einsatzbereit, damit du den Patch sofort nach Erscheinen einspielen kannst.
Ab 19:00 Uhr solltest du regelmäßig die offizielle Drupal-Sicherheitsseite unter drupal.org/security prüfen. Die Veröffentlichung wird zusätzlich über die Social-Media-Kanäle des Drupal-Projekts kommuniziert.
Warum schnelles Handeln bei Drupal-Sicherheitslücken entscheidend ist
Drupal wird weltweit für Websites mit hohem Traffic und sensiblen Inhalten eingesetzt, von Unternehmensseiten über Behördenportale bis hin zu E-Commerce-Plattformen. Genau das macht Drupal-Installationen zu einem attraktiven Ziel für Angreifer. Bei vergangenen hochkritischen Schwachstellen wie Drupalgeddon (SA-CORE-2014-005) und Drupalgeddon 2 (SA-CORE-2018-002) wurden innerhalb weniger Stunden nach Bekanntwerden automatisierte Angriffe auf ungepatchte Installationen beobachtet.
Selbst wenn das Drupal-Team darauf hinweist, dass nicht alle Konfigurationen gleichermaßen betroffen sind, solltest du dich nicht darauf verlassen, dass deine spezifische Konfiguration sicher ist, bevor du die Details der Schwachstelle geprüft hast. Im Zweifel ist ein sofortiges Update immer die sicherere Entscheidung.
Ältere Drupal-Versionen: Patch nutzen, Migration planen
Wenn du noch Drupal 8.9, 9.5 oder einen der abgekündigten 10.x-Zweige im Einsatz hast, ist der bereitgestellte Patch eine kurzfristige Absicherung. Langfristig erhältst du für diese Versionen keine regulären Sicherheitsupdates mehr. Die aktuelle Ausnahme ändert nichts daran, dass du bei der nächsten Schwachstelle möglicherweise keinen Patch mehr bekommst.
Eine Migration auf Drupal 10.5 oder höher beziehungsweise auf den aktuellen 11.x-Zweig sollte daher mittelfristig eingeplant werden. Dabei lohnt es sich auch, die zugrundeliegende Hosting-Infrastruktur zu evaluieren: PHP-Version, Datenbankversion und Webserver-Konfiguration müssen zu den Anforderungen der aktuellen Drupal-Releases passen.
Drupal-Installationen professionell betreiben
Sicherheitsvorfälle wie dieser zeigen, wie wichtig eine solide Hosting-Grundlage für den Betrieb eines CMS ist. Schnelle Update-Zyklen, SSH-Zugang für Composer-basierte Deployments, aktuelle PHP-Versionen und zuverlässige Backup-Mechanismen sind keine optionalen Extras, sondern Voraussetzungen für den sicheren Betrieb einer Drupal-Installation.
Wenn du eine Drupal-Website betreibst oder planst, bieten dir die Webhosting-Pakete von easyname eine stabile Grundlage mit aktuellen PHP-Versionen und den nötigen Datenbank-Ressourcen. Für Installationen mit höheren Anforderungen an Performance und individuelle Serverkonfiguration eignet sich ein VPS Server von easyname, auf dem du volle Kontrolle über die gesamte Serverumgebung hast, einschließlich eigenständiger PHP- und Webserver-Konfiguration.
Solltest du neben Drupal auch WordPress-Projekte betreuen, findest du bei easyname mit dem spezialisierten WordPress Hosting eine Lösung, die auf die spezifischen Anforderungen dieses CMS zugeschnitten ist. Für die Absicherung deiner Online-Präsenz beginnt alles mit der richtigen Domain, die du direkt über easyname registrieren und verwalten kannst.
WhatsApp
