**Drupal** a annoncé une prochaine "mise à jour de sécurité du cœur" affectant toutes les branches supportées, prévue pour le 20 mai 2026, entre 17h et 21h UTC. L'équipe de sécurité de Drupal conseille vivement aux administrateurs de prévoir du temps pour les mises à jour du cœur pendant cette période, citant le potentiel d'exploitation rapide après la publication. > "L'équipe de sécurité de Drupal vous exhorte à réserver du temps pour les mises à jour du cœur à ce moment-là, car des exploits pourraient être développés en quelques heures ou jours", ont déclaré les mainteneurs. Il est recommandé de mettre à jour vers le dernier correctif supporté pour la version de **Drupal** de votre site avant la date limite afin de résoudre tout problème de mise à niveau préexistant. ### Versions affectées Des correctifs seront disponibles pour les branches supportées suivantes du cœur de **Drupal** : * 11.3.x * 11.2.x * 10.6.x * 10.5.x Les sites exécutant ces versions devraient immédiatement mettre à jour vers la dernière version de correctif pour leur branche respective afin de se préparer à la fenêtre de sécurité. ### Mesures d'atténuation pour les versions plus anciennes Bien que la vulnérabilité spécifique reste sous le boisseau, **Drupal** fournit des versions 11.1.x et 10.4.x pour les sites exécutant des versions mineures du cœur arrivées en fin de vie, indiquant une faille potentiellement critique. Recommandations pour les versions plus anciennes : * Les sites sous **Drupal** 11.1 ou 11.0 devraient mettre à jour au moins vers **Drupal** 11.1.9. * Les sites sous **Drupal** 10.4, 10.3, 10.2, 10.1 ou 10.0 devraient mettre à jour au moins vers **Drupal** 10.4.9. L'approche suggérée est d'appliquer la mise à jour de sécurité dès sa sortie le 20 mai, suivie d'une mise à niveau vers **Drupal** 11.3 ou 10.6 dans un avenir proche. ### Versions en fin de vie : procédez avec prudence Pour les sites fonctionnant toujours sur des versions majeures du cœur arrivées en fin de vie, comme **Drupal** 8 et 9, des fichiers de correctifs manuels pour **Drupal** 8.9 et 9.5 seront nécessaires. Cependant, **Drupal** avertit que ces correctifs ne sont pas garantis de fonctionner correctement et pourraient introduire de nouveaux problèmes ou régressions. > "Cependant, ils peuvent aider à atténuer la vulnérabilité pour les sites toujours sur ces anciennes versions majeures jusqu'à ce qu'ils effectuent une mise à niveau vers une version supportée", a déclaré **Drupal**. Il est fortement recommandé aux sites **Drupal** 8 et 9 de passer à au moins **Drupal** 10.6 pour résoudre de nombreuses vulnérabilités de sécurité précédemment divulguées qui ne seront corrigées ni par **Drupal Steward** ni par les correctifs "au mieux" disponibles. ### Drupal 7 non affecté **Drupal** 7 n'est pas affecté par ce problème particulier. Il est conseillé aux sites utilisant n'importe quelle version de **Drupal** 9 de mettre à jour vers la 9.5.11, et ceux utilisant n'importe quelle version de **Drupal** 8 devraient mettre à jour vers **Drupal** 8.9.20.