Drupal-Sites haben einen Termin: Am Mittwoch, dem 20. Mai 2026, rollt das Drupal Security Team zwischen 19 und 23 Uhr deutscher Zeit einen als „hochkritisch“ eingestuften Notfall-Patch für Drupal Core aus. Der Inhalt der Lücke bleibt bis zur Veröffentlichung geheim. Das ist ungewöhnlich und ein klares Signal an alle Site-Betreiber, den Abend freizuhalten.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Wieso ist der 20. Mai für Drupal-Betreiber ein Stichtag?
Drupal-Patches kommen normalerweise mit einer dürren Vorankündigung und ohne weitere Details. Im aktuellen Fall geht das Security Team einen Schritt weiter und warnt explizit: „Exploits könnten innerhalb von Stunden oder Tagen entwickelt werden.“ Diese Formulierung verwendet das Team nur, wenn die zugrunde liegende Lücke schwerwiegend ist und Angreifer mit hoher Wahrscheinlichkeit reagieren werden.
Drupal gehört nicht zu den am weitesten verbreiteten Content-Management-Systemen im DACH-Raum. Trotzdem läuft eine erstaunliche Zahl von Behörden-, Hochschul- und Verbandsseiten auf Drupal. Auch viele B2B-Unternehmen nutzen das System für anspruchsvolle Multi-Site-Setups, weil Drupal in der Mehrsprachigkeit und im Rechteverwaltungs-Modell flexibler arbeitet als andere Systeme.
Welche Drupal-Versionen erhalten den Patch?
Das Drupal Security Team stellt Sicherheitsreleases für alle unterstützten Versionen bereit: Drupal 11.3.x als aktive Hauptversion, Drupal 11.2.x, Drupal 10.6.x als LTS sowie Drupal 10.5.x. Zusätzlich erhalten die formell auslaufenden Branches 11.1.x und 10.4.x einen Patch.
Selbst für die beiden bereits offiziell beendeten Hauptversionen Drupal 8.9 und Drupal 9.5 stellt das Team Patch-Dateien bereit, die allerdings manuell eingespielt werden müssen. Drupal warnt selbst, dass diese Patches Folgefehler oder Regressionen verursachen könnten. Drupal 7 bleibt komplett unberührt.
Sites auf Drupal 8 oder 9 sollten den 20. Mai als endgültigen Anlass nehmen, auf Drupal 10.6 oder Drupal 11.3 zu wechseln. Beide alten Hauptversionen enthalten weitere bereits offengelegte Sicherheitslücken, die weder durch Drupal Steward noch durch die jetzt verteilten Patch-Dateien geschlossen werden.
Was sollten Drupal-Admins bis Mittwoch tun?
Das Site-Backup gehört auf den aktuellen Stand und braucht einen Rückspeicher-Test, bevor das Patch-Fenster startet. Eine Aktualisierung auf die jüngste Patch-Release der eigenen Hauptversion räumt eventuelle Upgrade-Probleme vor dem Sicherheitsfenster ab. Und der Mittwochabend ab 19 Uhr deutscher Zeit gehört geblockt, denn das Patch-Fenster dauert vier Stunden.
Drupal-Steward-Kunden sind laut Angabe des Security Teams bereits gegen bekannte Angriffsvektoren geschützt. Trotzdem empfiehlt das Team, den Core-Patch zeitnah einzuspielen, falls weitere Angriffsmuster auftauchen sollten.
Eine Lücke, deren Details erst am Patch-Tag bekannt werden, gehört nicht auf die lange Bank. Sites, die am Mittwochabend nicht patchen, fahren am Donnerstag potenziell mit einer öffentlich dokumentierten Schwachstelle.
— Markus Seyfferth, Chefredakteur Dr. Web
Mehr Newshunger?
Der Drupal-Patch reiht sich ein in einen Mai-Patchday mit ungewöhnlich vielen prominenten Lücken. Das aktuelle Linux-Kernel-Update patcht das Auslesen von SSH-Keys, und der Copy-Fail-Bug verlangt nach einer CISA-Patch-Deadline. Den strategischen Kontext liefern die Cybersecurity-Grundlagen mit der Roadmap für KMU, das Cybersecurity-Glossar mit den 99 Begriffen, die 2026 Pflicht sind, und der WordPress-Hosting-Vergleich mit der richtigen Hosting-Umgebung samt automatischen Updates.
