#安全资讯 开源内容管理框架 Drupal 发布紧急安全通知，该软件将在 UTC 时间 5 月 20 日下午 5~9 点为所有受支持的分支发布核心安全更新。此次更新涉及的漏洞应该非常严重，因为 Drupal 甚至还会为早已停止支持的 11.1.x、10.4.x、8.x、9.x 发布补丁，Drupal 安全团队建议管理员预留时间以便在新版本发布后立即升级。查看详情：https://ourl.co/112996

业界知名的开源内容管理框架 Drupal (被诸多论坛使用) 发布安全通知称，将在 UTC 时间 2026 年 5 月 20 日 17:00~21:00 为所有受支持的版本发布核心安全更新，此次安全更新用于修复多个重大安全漏洞，因此提前发布通知要求所有使用该系统的管理员预留时间进行升级。

提前发布安全通知意味着本次涉及的漏洞可能非常严重，而核心安全更新发布后黑客也可以通过代码逆向推导漏洞，按照以往经验来看可能新版本发布几小时后网上就会出现针对 Drupal 的安全攻击，这也是网站管理员需要关注的主要原因。

并非所有配置都会受影响：

Drupal 开发团队称此次漏洞涉及的问题不会影响所有配置，但管理员需要在 5 月 20 日发布窗口里预留时间用来确定自己的网站是否受影响，如果受影响则需要立即更新或部署缓解措施，避免在窗口期内黑客立即发动攻击。

预计 Drupal 以下受支持的版本将会收到核心安全更新：11.3.x、11.2.x、10.6.x、10.5.x，考虑到 Drupal 甚至为已经停止更新的 11.1.x 和 10.4.x 也发布更新，说明漏洞危害应该极高，否则 Drupal 也不至于向已经停止更新的版本继续发布更新。

特别旧的版本也会获得更新但需要手动部署：

作为应急缓解方案，Drupal 团队将为已经停止更新的 Drupal 8 和 9 等版本提供 8.9 和 9.5 补丁文件，仍然使用这些特别旧的版本的网站需要手动下载和部署更新，但 Drupal 警告称：这些补丁文件不保证能够彻底修复漏洞、也不保证不会带来其他问题，还有可能带来其他功能问题。

所以 Drupal 强烈建议使用 8.x 和 9.x 的网站至少应该升级到 Drupal 10.6.x，因为 8.x 和 9.x 本身还包含大量其他已经公开披露的漏洞，这些漏洞不能通过补丁文件直接修复，所以即便部署新的补丁文件后也仍然存在安全风险。

值得注意的是 Drupal 7.x 不受此次漏洞影响，但该版本也同样因为早就停止更新而存在大量已经公开披露的并未被修复的漏洞，所以使用 Drupal 7.x 的网站也同样应该升级。