**Drupal** hat eine "Core-Sicherheitsfreigabe" für später heute angekündigt und warnt, dass Bedrohungsakteure innerhalb von Stunden nach der Offenlegung des Updates Exploits entwickeln könnten. ### Dringendes Update erforderlich Administratoren werden dringend gebeten, am 20. Mai zwischen 17:00 und 21:00 UTC Zeit für Kern-Updates einzuplanen. Website-Administratoren, die Versionen 8 oder 9 verwenden, wird dringend empfohlen, auf mindestens Version 10.6 zu aktualisieren. Das **Drupal** Content Management System (CMS) wird häufig von großen Organisationen genutzt, darunter auch solche im Regierungs-, Bildungs- und Gesundheitswesen. ### Betroffene Versionen und Patches Laut der [öffentlichen Bekanntmachung](https://www.drupal.org/psa-2026-05-18) betrifft die Schwachstelle **Drupal** Core-Versionen 8 und höher. Sicherheitsupdates werden für die folgenden Versionen verfügbar sein: * Drupal 11.3.x * Drupal 11.2.x * Drupal 11.1x * Drupal 10.6.x * Drupal 10.5.x * Drupal 10.4x **Drupal** weist darauf hin, dass, obwohl die Versionen 11.1x und 10.4x nicht mehr unterstützt werden, aufgrund der Schwere des Sicherheitsproblems dennoch Korrekturen bereitgestellt werden; Administratoren sollten auf **Drupal** 11.1.9 und 10.4.9 aktualisieren. Für **Drupal** 8 und 9, die das End-of-Life erreicht haben, werden keine Patches bereitgestellt, aber es werden Hotfix-Dateien für die Versionen 9.5 und 8.9 veröffentlicht, die eine Behebung für diejenigen ermöglichen, die die Versionen 9.5.11 oder 8.9.20 verwenden. Sites, die **Drupal** Steward verwenden, sind bereits vor bekannten Angriffsvektoren geschützt. Ein Update wird dennoch empfohlen. ### Eingeschränkte Offenlegung und Vorsicht Es wurden keine technischen Details zu der Schwachstelle offengelegt, und **Drupal** warnt, dass alle online erscheinenden Informationen betrügerisch sein könnten. Administratoren wird geraten, Vorsicht walten zu lassen. „Weder das Sicherheitsteam noch eine andere Partei ist in der Lage, weitere Informationen zu dieser Schwachstelle preiszugeben, bis die Ankündigung erfolgt ist“, warnte **Drupal**. **Drupal**-Website-Administratoren sollten den offiziellen Sicherheitsportal der Plattform den ganzen Tag über auf weitere Informationen überwachen und sich darauf vorbereiten, das Sicherheitsupdate anzuwenden, sobald es verfügbar ist.