Drupal: Hochkritisches Core-Update am 20. Mai

Wer eine Drupal-Seite betreibt, hat jetzt eine Aufgabe ganz oben auf der Liste. Bereits am 18. Mai warnte Drupal mit der Vorab-Meldung PSA-2026-05-18 vor einem hochkritischen Loch im Kern. Am 20. Mai 2026, zwischen 17:00 und 21:00 UTC, kam dann der Patch für alle unterstützten Branches.

GEFAHR: Kein Login nötig

Das ist der Teil, der wehtut. Drupal bewertet die Lücke mit 20 von 25 Punkten im eigenen Sicherheits-Score — also „hochkritisch“. Die Angriffs-Komplexität liegt bei „None“, und auch für die Authentifizierung steht „None“. Im Klartext: Ein Angreifer braucht weder ein Konto noch besondere Rechte. Wer die verwundbare Seite erreicht, kann sie potenziell angreifen.

SCHOCK: Sogar EOL-Versionen kriegen einen Patch

Betroffen sind alle aktuell gepflegten Branches: Drupal 11.3.x, 11.2.x, 10.6.x und 10.5.x. Und weil das Team die Sache so ernst nimmt, gibt es ausnahmsweise manuelle Patch-Dateien für die längst abgekündigten Versionen Drupal 8 und 9. Wenn ein Projekt das macht, das normalerweise knallhart auf End-of-Life pocht, weißt du, wie heiß das Thema ist.

So bereitest du dich in 5 Minuten vor

Die technischen Details blieben bis zur Veröffentlichung am 20. Mai unter Embargo — Standard bei Drupal, damit niemand vorher einen Exploit baut. Genau deshalb solltest du jetzt handeln, nicht erst beim ersten Angriff:

Prüfe, welche Core-Version deine Seite fährt (admin/reports/status).
Halte ein frisches Backup bereit, bevor du updatest.
Spiele das Core-Update so schnell wie möglich ein — am besten erst auf Staging, dann live.
Wer noch auf Drupal 8/9 hängt: manuellen Patch ziehen und Migration ernsthaft einplanen.

Nutzt du den WAF-Dienst Drupal Steward, bekommst du zum Release-Zeitpunkt sofortigen Schutz gegen bekannte Varianten des Angriffs. Aber Achtung: Das Team sagt klar, dass das den Code-Update nicht ersetzt — neue Angriffswege könnten den Filter umgehen.

Fazit: „Highly critical“ plus „kein Login nötig“ ist die Kombination, bei der Behörden- und Uni-Seiten erfahrungsgemäß zuerst fallen. Das Zeitfenster bis zum ersten Massen-Scan ist klein — also nicht auf später vertagen.

Häufige Fragen

Welche Versionen sind betroffen?

Alle derzeit unterstützten Core-Branches: Drupal 11.3.x, 11.2.x, 10.6.x und 10.5.x. Wegen der Schwere gibt es zusätzlich manuelle Patch-Dateien für die End-of-Life-Versionen Drupal 8 und 9.

Wie merke ich, ob ich angreifbar bin?

Wenn deine Seite auf einer der betroffenen Core-Versionen läuft und nicht gepatcht ist, gilt sie als verwundbar. Die Lücke ist ohne Login ausnutzbar, also reicht die reine Erreichbarkeit der Seite. Die Core-Version findest du unter admin/reports/status.

Wie behebe ich das Problem konkret?

Backup ziehen, dann das Drupal-Core-Update auf die gepatchte Version einspielen — idealerweise zuerst auf einer Staging-Umgebung. EOL-Nutzer von Drupal 8/9 spielen den bereitgestellten manuellen Patch ein und planen die Migration.

Schützt mich Drupal Steward auch ohne Update?

Steward liefert zum Release sofortigen Schutz gegen bekannte Angriffsvarianten, ist aber ausdrücklich kein Ersatz für das Code-Update. Werden weitere Angriffswege entdeckt, kann der WAF-Filter sie verfehlen — der Patch bleibt Pflicht.

Quellen

DRUPAL-ALARM! Hochkritischer Patch ohne Login-Schutz reisst JETZT Millionen Seiten auf — SOFORT updaten