Das Drupal-Sicherheitsteam hat für den Abend des 20. Mai 2026 ein hochkritisches Sicherheitsupdate für Drupal Core angekündigt. Die Schwachstelle wird als so gravierend eingestuft, dass selbst bereits abgekündigte Versionen nachträglich Patches erhalten. Wenn du Drupal als CMS einsetzt, solltest du dich jetzt auf das Update vorbereiten und es unmittelbar nach Veröffentlichung einspielen.
Inhaltsverzeichnis
- Warum dieses Drupal-Update besondere Dringlichkeit hat
- Welche Drupal-Versionen betroffen sind
- Voraussetzungen für das Einspielen der Patches
- Nicht alle Konfigurationen gleichermaßen verwundbar
- Konkrete Schritte für deine Update-Strategie
- Warum regelmäßige CMS-Updates unverzichtbar sind
- Sicher und leistungsfähig hosten mit dogado
Homepage Baukasten: Deine Website mit dogado
Gestalte deine Website genauso, wie du sie dir vorstellst. Mit dem Drag-and-drop-Editor platzierst du Texte, Bilder und weitere Elemente mühelos an der gewünschten Stelle – ganz ohne eine einzige Zeile Code.
Warum dieses Drupal-Update besondere Dringlichkeit hat
Sicherheitsupdates für Content-Management-Systeme sind keine Seltenheit. Dass das Drupal-Sicherheitsteam jedoch vorab eine explizite Warnung ausspricht und Admins auffordert, sich den Abend für die Aktualisierung freizuhalten, ist ungewöhnlich und unterstreicht den Schweregrad der Lücke. Die Entwickler rechnen damit, dass Exploits innerhalb weniger Stunden bis Tage nach Veröffentlichung des Patches auftauchen könnten. Das Zeitfenster zwischen Update-Release und aktivem Ausnutzen der Schwachstelle dürfte also extrem kurz sein.
Die Veröffentlichung ist zwischen 19:00 und 23:00 Uhr MESZ geplant, was 17:00 bis 21:00 UTC entspricht. In diesem Zeitraum solltest du die offizielle Drupal-Sicherheitsseite sowie die Social-Media-Kanäle des Projekts im Blick behalten, um das Update sofort herunterzuladen und einzuspielen.
Welche Drupal-Versionen betroffen sind
Reguläre Sicherheitsupdates stellt das Drupal-Projekt ausschließlich für die aktuell unterstützten Core-Versionen bereit. Im konkreten Fall sind das die Entwicklungszweige 11.3.x, 11.2.x, 10.6.x und 10.5.x. Aufgrund der Kritikalität des Problems weicht das Sicherheitsteam jedoch von dieser Praxis ab und liefert zusätzlich Patches für Drupal Core 11.1.x und 10.4.x aus, obwohl beide Versionen offiziell das Ende ihres Support-Lebenszyklus erreicht haben. Darüber hinaus erhalten sogar die deutlich älteren Fassungen Drupal Core 9.5 und 8.9 korrigierte Releases.
Wer noch Drupal Core 7 betreibt, ist von dieser konkreten Schwachstelle nicht betroffen. Das bedeutet allerdings nicht, dass Drupal-7-Installationen generell als sicher gelten können, da dieser Zweig ebenfalls seit Langem keine regulären Updates mehr erhält.
Voraussetzungen für das Einspielen der Patches
Damit die Sicherheitsaktualisierung sauber angewendet werden kann, müssen bestimmte Versionsstände als Basis vorhanden sein. Überprüfe vor dem Erscheinen des Patches, auf welchem Stand sich deine Drupal-Installation befindet, und aktualisiere gegebenenfalls vorab.
| Drupal-Zweig | Mindestens erforderlicher Stand vor dem Patch |
| Drupal Core 11.1.x und 11.0.x | 11.1.9 |
| Drupal Core 10.4.x, 10.3.x, 10.2.x, 10.1.x und 10.0.x | 10.4.9 |
| Drupal Core 9.5.x | 9.5.11 |
| Drupal Core 8.9.x | 8.9.20 |
Wenn deine Installation unterhalb dieser Versionsstände liegt, solltest du das Basis-Update noch vor Erscheinen des Sicherheitspatches durchführen. So vermeidest du eine doppelte Downtime und stellst sicher, dass der kritische Fix direkt angewendet werden kann.
Homepage Baukasten: Deine Website mit dogado
Gestalte deine Website genauso, wie du sie dir vorstellst. Mit dem Drag-and-drop-Editor platzierst du Texte, Bilder und weitere Elemente mühelos an der gewünschten Stelle – ganz ohne eine einzige Zeile Code.
Nicht alle Konfigurationen gleichermaßen verwundbar
Das Drupal-Sicherheitsteam hat angedeutet, dass nicht jede Drupal-Installation in gleicher Weise betroffen ist. Bestimmte Konfigurationen könnten das Risiko reduzieren oder die Schwachstelle praktisch unangreifbar machen. Details dazu werden erst mit dem eigentlichen Security Advisory veröffentlicht. Trotzdem gilt die klare Empfehlung, die eigene Instanz direkt nach Erscheinen des Advisories auf Betroffenheit zu prüfen und im Zweifelsfall sofort zu patchen. Bei einer als hochkritisch eingestuften Lücke ist es fahrlässig, auf die detaillierte Analyse zu warten, bevor man handelt.
Konkrete Schritte für deine Update-Strategie
Ein Sicherheitsupdate dieser Tragweite erfordert etwas mehr Vorbereitung als ein regulärer Patch-Zyklus. Die folgenden Maßnahmen helfen dir, das Update reibungslos und zeitnah umzusetzen.
Erstelle zunächst ein vollständiges Backup deiner Drupal-Installation einschließlich Datenbank, Dateisystem und Konfigurationsdateien. Prüfe anschließend den aktuellen Versionsstand deines Drupal Core und gleiche ihn mit der oben stehenden Tabelle ab. Falls ein Zwischenupdate nötig ist, spiele es noch vor dem Abend des 20. Mai ein. Richte dir Benachrichtigungen für die Drupal-Sicherheitsseite ein oder beobachte die offiziellen Kanäle aktiv ab 19:00 Uhr MESZ. Plane nach dem Einspielen des Updates einen kurzen Funktionstest deiner Website ein, um sicherzustellen, dass keine Module oder Themes durch das Update beeinträchtigt werden.
Wenn du Drupal über Composer verwaltest, prüfe vorab, ob deine composer.json die korrekte Versionsbeschränkung für drupal/core enthält. Ein zu restriktives Version-Constraint könnte verhindern, dass das Sicherheitsupdate automatisch aufgelöst wird.
Warum regelmäßige CMS-Updates unverzichtbar sind
Dieser Vorfall zeigt einmal mehr, wie wichtig ein aktives Patch-Management für jedes Content-Management-System ist. Drupal, WordPress, Joomla und andere Systeme stehen permanent im Fokus von Angreifern, weil sie Millionen von Websites antreiben und bekannte Schwachstellen automatisiert in großem Maßstab ausgenutzt werden können. Eine nicht gepatchte CMS-Installation ist kein theoretisches Risiko, sondern ein konkretes Einfallstor für Datendiebstahl, Website-Defacement oder die Einschleusung von Schadcode, der an deine Besucher verteilt wird.
Neben dem reinen Einspielen von Updates spielen auch die Hosting-Infrastruktur und die Serverkonfiguration eine wesentliche Rolle für die Sicherheit deiner Website. Ein Hosting-Umfeld, das aktuelle PHP-Versionen, automatische Backups und eine solide Firewall-Konfiguration bietet, reduziert die Angriffsfläche erheblich.
Sicher und leistungsfähig hosten mit dogado
Wenn du Drupal oder ein anderes CMS produktiv einsetzt, ist die Wahl des richtigen Hosting-Pakets eine der wichtigsten technischen Entscheidungen. Das Webhosting von dogado bietet dir aktuelle PHP-Versionen, tägliche Backups und eine serverseitige Sicherheitsinfrastruktur, die als solide Basis für jede CMS-Installation dient. Für Drupal-Installationen mit höheren Anforderungen an Ressourcen und Konfigurationsfreiheit sind die VPS-Tarife von dogado die bessere Wahl. Dort kannst du Server-Software, PHP-Versionen und Sicherheitseinstellungen exakt auf deine Anforderungen abstimmen und Updates im eigenen Tempo einspielen.
Falls du neben Drupal auch WordPress-Projekte betreibst, lohnt sich ein Blick auf das spezialisierte WordPress Hosting von dogado. Es ist gezielt auf die Anforderungen von WordPress optimiert und nimmt dir einen Teil des Update-Managements ab. Und wenn du eine neue Website planst und nicht zwingend auf ein klassisches CMS angewiesen bist, bietet der Homepage-Baukasten von dogado eine wartungsarme Alternative, bei der Sicherheitsupdates vollständig vom Anbieter übernommen werden.
Unabhängig davon, welches System du einsetzt: Sichere dir mit einer Domain von dogado eine professionelle Webadresse und nutze die zugehörigen E-Mail-Adressen für eine durchgehend seriöse Kommunikation mit deinen Kunden und Geschäftspartnern.
Homepage Baukasten: Deine Website mit dogado
Gestalte deine Website genauso, wie du sie dir vorstellst. Mit dem Drag-and-drop-Editor platzierst du Texte, Bilder und weitere Elemente mühelos an der gewünschten Stelle – ganz ohne eine einzige Zeile Code.
WhatsApp
