O **Drupal** anunciou uma "liberação de segurança do core" iminente, afetando todos os branches suportados, agendada para 20 de maio de 2026, entre 17h e 21h UTC. A **Equipe de Segurança do Drupal** está aconselhando fortemente os administradores a reservarem tempo para atualizações do core durante esta janela, citando o potencial de exploração rápida após a liberação. > "A Equipe de Segurança do Drupal recomenda que você reserve tempo para atualizações do core nesse período, pois exploits podem ser desenvolvidos em horas ou dias", afirmaram os mantenedores. É recomendado atualizar para o último patch suportado para a versão do **Drupal** do seu site antes do prazo para resolver quaisquer problemas de atualização preexistentes. ### Versões Afetadas Os patches estarão disponíveis para os seguintes branches suportados do **Drupal** core: * 11.3.x * 11.2.x * 10.6.x * 10.5.x Sites executando essas versões devem atualizar para o último patch release de seus respectivos branches imediatamente para se preparar para a janela de segurança. ### Passos de Mitigação para Versões Mais Antigas Embora a vulnerabilidade específica permaneça sob sigilo, o **Drupal** está fornecendo releases 11.1.x e 10.4.x para sites que executam versões menores do core fora de suporte (end-of-life), indicando uma falha potencialmente crítica. Recomendações para versões mais antigas: * Sites no **Drupal** 11.1 ou 11.0 devem atualizar para pelo menos o **Drupal** 11.1.9. * Sites no **Drupal** 10.4, 10.3, 10.2, 10.1 ou 10.0 devem atualizar para pelo menos o **Drupal** 10.4.9. A abordagem sugerida é aplicar a atualização de segurança assim que ela for liberada em 20 de maio, seguida por uma atualização para **Drupal** 11.3 ou 10.6 em um futuro próximo. ### Versões End-of-Life: Proceda com Cautela Para sites ainda operando em versões principais do core fora de suporte (end-of-life) como **Drupal** 8 e 9, arquivos de patch manuais para **Drupal** 8.9 e 9.5 serão necessários. No entanto, o **Drupal** adverte que essas correções não têm garantia de funcionar corretamente e podem introduzir novos problemas ou regressões. > "No entanto, eles podem ajudar a mitigar a vulnerabilidade para sites que ainda estão nessas versões principais antigas até que eles atualizem para uma versão suportada", declarou o **Drupal**. A atualização para pelo menos o **Drupal** 10.6 é fortemente recomendada para sites **Drupal** 8 e 9 para resolver inúmeras vulnerabilidades de segurança divulgadas anteriormente que não serão corrigidas nem pelo **Drupal Steward** nem pelos arquivos de patch de melhor esforço. ### Drupal 7 Não Afetado O **Drupal** 7 não é afetado por este problema específico. Sites em qualquer versão do **Drupal** 9 são aconselhados a atualizar para 9.5.11, e aqueles em qualquer versão do **Drupal** 8 devem atualizar para **Drupal** 8.9.20.