Drupal Prepara Patch para Vulnerabilidade Crítica com Exploração Simples
Desenvolvedores do Drupal alertam sobre atualizações de segurança "altamente críticas" para a CMS, com patches previstos para 20 de maio de 2026. A equipe do projeto recomenda que administradores se preparem para atualizações urgentes devido à possibilidade de exploits serem lançados em breve. A vulnerabilidade, ainda não revelada, gerou preocupações na comunidade de segurança.
MundiX News·21 de maio de 2026·2 min de leitura·👁 4 views
Os desenvolvedores do Drupal alertaram os usuários sobre a iminente liberação de atualizações de segurança "altamente críticas" para o sistema de gerenciamento de conteúdo (CMS). Os patches para uma vulnerabilidade ainda não divulgada serão lançados em 20 de maio de 2026, e a equipe do projeto aconselha os administradores a reservar tempo para atualizar seus sites com urgência. Segundo os desenvolvedores, exploits podem surgir "em questão de horas ou dias" após a divulgação de detalhes sobre o problema.
Embora os representantes do Drupal não tenham revelado detalhes técnicos sobre o bug, o formato do alerta e a linguagem utilizada já causaram preocupação na comunidade de segurança. Bugs críticos no Drupal são descobertos regularmente, mas a designação "altamente crítico" não aparecia nos boletins de segurança do projeto há vários anos. A natureza exata da vulnerabilidade permanece desconhecida, mas a expectativa é alta. Pode ser um problema de execução remota de código (RCE), uma falha de autenticação ou outra questão séria. É importante notar que não houve relatos de exploração em massa de novas vulnerabilidades do Drupal em ataques reais desde 2019. No passado, a situação foi muito pior, com as vulnerabilidades Drupalgeddon (CVE-2014-3704, injeção SQL) e Drupalgeddon2, que permitiram que invasores comprometessem sites em larga escala.
Os patches serão lançados para todas as versões do núcleo do Drupal suportadas: 11.3.x, 11.2.x, 10.6.x e 10.5.x. Os desenvolvedores também recomendam que os administradores atualizem para as versões mais recentes dentro de suas ramificações para evitar problemas durante a atualização de emergência. Para versões antigas, correções temporárias também serão lançadas: Drupal 11.0 e 11.1 precisam ser atualizados para, no mínimo, 11.1.9; Drupal 10.0–10.4, para, no mínimo, 10.4.9. Após a instalação dos patches de emergência, os proprietários de sites são aconselhados a migrar para as versões 11.3 ou 10.6 o mais rápido possível. Os desenvolvedores também alertaram os usuários do Drupal 8 e 9. Essas versões não são mais suportadas, mas patches "best-effort" (sem garantia de estabilidade) serão preparados para elas. Eles precisarão ser instalados manualmente para Drupal 8.9 e 9.5. A equipe do projeto enfatiza que essas correções podem causar falhas e não corrigem outras vulnerabilidades antigas acumuladas nas versões não suportadas. Portanto, os proprietários de sites no Drupal 8 e 9 são fortemente incentivados a migrar para pelo menos o Drupal 10.6.
Os desenvolvedores do Drupal alertaram os usuários sobre a iminente liberação de atualizações de segurança "altamente críticas" para o sistema de gerenciamento de conteúdo (CMS). Os patches para uma vulnerabilidade ainda não divulgada serão lançados em 20 de maio de 2026, e a equipe do projeto aconselha os administradores a reservar tempo para atualizar seus sites com urgência. Segundo os desenvolvedores, exploits podem surgir "em questão de horas ou dias" após a divulgação de detalhes sobre o problema.
Embora os representantes do Drupal não tenham revelado detalhes técnicos sobre o bug, o formato do alerta e a linguagem utilizada já causaram preocupação na comunidade de segurança. Bugs críticos no Drupal são descobertos regularmente, mas a designação "altamente crítico" não aparecia nos boletins de segurança do projeto há vários anos. A natureza exata da vulnerabilidade permanece desconhecida, mas a expectativa é alta. Pode ser um problema de execução remota de código (RCE), uma falha de autenticação ou outra questão séria. É importante notar que não houve relatos de exploração em massa de novas vulnerabilidades do Drupal em ataques reais desde 2019. No passado, a situação foi muito pior, com as vulnerabilidades Drupalgeddon (CVE-2014-3704, injeção SQL) e Drupalgeddon2, que permitiram que invasores comprometessem sites em larga escala.
Os patches serão lançados para todas as versões do núcleo do Drupal suportadas: 11.3.x, 11.2.x, 10.6.x e 10.5.x. Os desenvolvedores também recomendam que os administradores atualizem para as versões mais recentes dentro de suas ramificações para evitar problemas durante a atualização de emergência. Para versões antigas, correções temporárias também serão lançadas: Drupal 11.0 e 11.1 precisam ser atualizados para, no mínimo, 11.1.9; Drupal 10.0–10.4, para, no mínimo, 10.4.9. Após a instalação dos patches de emergência, os proprietários de sites são aconselhados a migrar para as versões 11.3 ou 10.6 o mais rápido possível. Os desenvolvedores também alertaram os usuários do Drupal 8 e 9. Essas versões não são mais suportadas, mas patches "best-effort" (sem garantia de estabilidade) serão preparados para elas. Eles precisarão ser instalados manualmente para Drupal 8.9 e 9.5. A equipe do projeto enfatiza que essas correções podem causar falhas e não corrigem outras vulnerabilidades antigas acumuladas nas versões não suportadas. Portanto, os proprietários de sites no Drupal 8 e 9 são fortemente incentivados a migrar para pelo menos o Drupal 10.6.
