Drupal łata dziś wieczór. Exploity mogą być gotowe w ciągu godzin.

Łatka wychodzi dziś 17:00–21:00 UTC (19:00–23:00 CEST). Zarezerwuj czas na aktualizację natychmiast po wydaniu.

Docelowe wersje po aktualizacji: Drupal 11.3.x lub 11.2.8 / 11.1.9, Drupal 10.6.x lub 10.5.6 / 10.4.9. Dla Drupal 8.9 i 9.5 (end-of-life) — Drupal wyjątkowo przygotował ręczne pliki patch ze względu na wagę podatności. Nie są gwarantowane, ale to jedyne co jest dostępne dla tych wersji. Drupal 7 nie jest dotknięty.

Jeśli używasz Drupal Steward — jesteś już chroniony przed znami wektorami ataku, ale aktualizacja jest nadal wymagana na wypadek dodatkowych.

Drupal Seurity Team opublikował PSA-2026-05-18 dwa dni temu z jednym zdaniem które nie pozostawia miejsca na interpretację: "Exploits might be developed within hours or days."

Nie "po kilku tygodniach." Nie "gdy atakujący zainwestują czas." W ciągu godzin.

To zdanie jest zapisane w oficjalnym komunikacie producenta, nie w analizie badacza zewnętrznego. Drupal mówi wprost: wiemy co to jest, wiemy że jest trywialne do odwzorowania z patcha, dlatego mówimy wam zanim patch wyjdzie.

Co wiemy o podatności

Pełne szczegóły techniczne pozostają pod embargo do momentu wydania łatki — Drupal celowo nie ujawnił nic co mogłoby pomóc w budowie exploita przed patchem. Ale scoring model który opublikowali jest wystarczająco opisowy.

PSA-2026-05-18: 20/25 na skali Drupal. Access Complexity: "None". Authentication: "None". Podatność dotyczy Drupal core — nie modułu, nie motywu, ale rdzenia. Jest w infrastrukturze CMS którego używają rządy, uczelnie, duże organizacje non-profit i korporacje na całym świecie.

"Access Complexity: None" i "Authentication: None" to kombinacja która opisuje podatność exploitowalną przez każdego kto może wysłać żądanie HTTP do Drupal site. Żadnych kont, żadnych uprawnień, żadnej złożonej sekwencji.

The Register opisuje dlaczego Drupal wydał advance advisory zamiast po cichu wypuścić patch: przy podatnościach tej klasy, gdzie reverse-engineering patcha jest szybki, administratorzy potrzebują zarezerwowanego czasu na aktualizację. Surprise patch o 17:00 UTC sprawia że wiele systemów pozostaje bez opieki przez weekend. Advance advisory daje administratorom szansę na przygotowanie.

Dlaczego to nie jest rutynowy patch

Pisaliśmy o tym przy M-Trends 2026 że mediana time-to-exploit jest ujemna — exploity pojawiają się przed łatkami dla prawie jednej trzeciej CVE. Przy Marimo mieliśmy 9h41min od ujawnienia do eksploitacji. Przy podatnościach gdzie sam opis mówi "Access Complexity: None, Authentication: None" — reverse-engineering patcha jest szybszy niż zaplanowanie okna maintenance.

Fakt że Drupal wyjątkowo przygotował ręczne pliki patch nawet dla całkowicie end-of-life wersji 8 i 9 — przy wszystkich zastrzeżeniach że "mogą nie działać poprawnie" — jest sygnałem jak poważnie team traktuje tę podatność. Drupal 8 oficjalnie nie dostaje żadnych poprawek bezpieczeństwa. Ta jedna jest wyjątkiem.

Źródła

Drupal.org — oficjalny PSA z instrukcjami dla każdej wersji: https://www.drupal.org/psa-2026-05-18

The Register — analiza dlaczego advance advisory i co scoring oznacza: https://www.theregister.com/security/2026/05/19/drupal-warns-admins-to-brace-for-highly-critical-core-patch/

TechTimes — kontekst rządowych i akademickich deploymentów: https://www.techtimes.com/articles/316916/20260520/drupal-core-patch-drops-today-no-login-flaw-puts-government-university-sites-immediate-risk.htm

University of Michigan SafeComputing — instrukcje dla administratorów: https://safecomputing.umich.edu/security-alerts/apply-updates-drupal-core-security-release-may-20-2026