Sicherheitswarnung für Open-Source-CMS

Hochkritische Sicherheitslücke: Drupal kündigt Notfall-Patch an

Drupal, Bildquelle: Pe3k/Shutterstock
Bildquelle: Pe3k/Shutterstock
LinkedInRedditWhatsApp

Das CMS Drupal veröffentlicht ein hochkritisches Sicherheitsupdate. Entwickler warnen vor einer Ausnutzung der Schwachstelle binnen weniger Stunden.

Die Entwickler des weit verbreiteten Open-Source-Content-Management-Systems (CMS) Drupal haben eine dringende Sicherheitswarnung an Webseitenbetreiber weltweit herausgegeben. Das Security-Team bereitet die Veröffentlichung eines außerordentlichen Patches für eine als „hochkritisch“ (highly critical) eingestufte Sicherheitslücke vor. Da das System hunderte von Dollar- und Euro-Infrastrukturen sowie Hunderttausende von Regierungs-, Unternehmens- und Privathomepages weltweit betreibt, stufen Experten das Bedrohungspotenzial für die globale Internet-Infrastruktur als erheblich ein. Administratoren werden dringend aufgefordert, administrative Wartungsfenster für den heutigen Abend vorzubereiten, um die Sicherheitsaktualisierungen unverzüglich nach der Bereitstellung einzuspielen.

Anzeige

Drupal 11.3x bis 10.5x bekommen Notfall-Patch

Die Veröffentlichung des Notfall-Updates ist für den heutigen Mittwoch, den 20. Mai 2026, angekündigt. Das offizielle Zeitfenster für den Rollout wurde von den Drupal-Entwicklern auf den Zeitraum zwischen 17:00 Uhr und 21:00 Uhr UTC (entspricht 19:00 Uhr bis 23:00 Uhr MESZ) festgelegt. IT-Sicherheitsverantwortliche müssen in diesem Zeitraum die Verfügbarkeit ihrer Systeme und zuständigen Teams sicherstellen. Die Entwickler hoben die Dringlichkeit der Maßnahme in ihrer offiziellen Mitteilung mit klaren Worten hervor:

„Halten Sie sich am 20. Mai während des Veröffentlichungsfensters Zeit frei, um festzustellen, ob Ihre Websites betroffen sind und ein sofortiges Update benötigen. Informationen zur Schadensminimierung werden in der Warnmeldung enthalten sein.“

Drupal

Anzeige

Das Sicherheitsupdate korrigiert Fehler in mehreren unterstützten Entwicklungszweigen des Content-Management-Systems parallel. Nach offiziellen Angaben sind die folgenden Versionen von der hochkritischen Schwachstelle betroffen und erhalten dedizierte Fehlerbehebungen:

  • Drupal 11.3.x
  • Drupal 11.2.x
  • Drupal 10.6.x
  • Drupal 10.5.x

Ältere, bereits aus dem offiziellen Support herausgefallene Versionen des CMS werden keine automatischen Aktualisierungen erhalten, was das Risiko für veraltete Webpräsenzen zusätzlich verschärft.

Akute Bedrohung durch schnelle Exploit-Entwicklung

Die ungewöhnlich scharfe Vorwarnung des Drupal-Security-Teams basiert auf der Befürchtung, dass bösartige Akteure in der Lage sein werden, das Update mittels Reverse Engineering unmittelbar nach dem Erscheinen zu analysieren. Durch den Vergleich des alten und des reparierten Programmcodes können Angreifer die genaue Natur der Schwachstelle rekonstruieren. Das Entwicklerteam prognostiziert, dass ein funktionsfähiger Schadcode (Exploit) bereits innerhalb weniger Stunden oder Tage nach der Offenlegung im cyberkriminellen Untergrund zirkulieren könnte.

Um den Schutz der noch ungepatchten Systeme im Vorfeld nicht zu gefährden, halten die Verantwortlichen sämtliche technischen Details der Sicherheitslücke unter strikter Geheimhaltung. Es wurden bislang weder eine CVE-Nummerierung noch spezifische Informationen über die betroffenen Subsysteme, wie etwa die Datenbank-Abstraktionsschicht, das Rechte-Management oder die REST-APIs, publiziert. Das Kernteam stellte hierzu klar: „Weder das Security Team noch eine andere Partei ist in der Lage, weitere Informationen über diese Sicherheitslücke herauszugeben, bevor die Ankündigung erfolgt ist.“

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Seltenheit hochkritischer Fehler im Drupal-Ökosystem

Der aktuelle Vorfall stellt eine Besonderheit in der jüngeren Sicherheitsgeschichte des Projekts dar. Zwar werden im Rahmen des regulären Entwicklungszyklus kontinuierlich Fehler behoben – im laufenden Jahr 2026 wurden bis heute bereits 40 separate Sicherheitsmängel dokumentiert und geschlossen –, doch handelte es sich dabei fast ausnahmslos um Probleme mit niedriger oder moderater Priorität. Eine Einstufung als „hochkritisch“ hat es im Drupal-Ökosystem seit mehreren Jahren nicht mehr gegeben.

Die IT-Sicherheitsstatistik von Drupal verzeichnet zudem seit dem Jahr 2019 keine Berichte mehr über erfolgreiche, flächendeckende Ausnutzungen von neu entdeckten Schwachstellen in freier Wildbahn (in the wild). Diese anhaltende Phase der Stabilität droht durch den aktuellen Fund beendet zu werden, weshalb die Verwalter des Quellcodes die administrative Community zu erhöhter Wachsamkeit anhalten.

Parallelen zu Drupalgeddon und Drupalgeddon2

Die aktuelle Warnung weckt in der Fachwelt Erinnerungen an schwerwiegende Sicherheitsvorfälle aus der Vergangenheit. In den Jahren vor 2019 war das CMS wiederholt das Ziel globaler Angriffswellen, die unter den Bezeichnungen „Drupalgeddon“ (CVE-2014-3704) und „Drupalgeddon2“ (CVE-2018-7600) Bekanntheit erlangten. Jene hochkritischen Schwachstellen betrafen die Kernarchitektur des Systems und erlaubten es entfernten, nicht authentifizierten Angreifern, über manipulierte HTTP-Anfragen eigenen Schadcode auf den Webservern auszuführen (Remote Code Execution).

Während dieser historischen Krisen wurden automatisierte Angriffs-Bots entwickelt, die das Internet systematisch nach anfälligen Drupal-Installationen scannten. Innerhalb kürzester Zeit nach der Bekanntgabe wurden damals zehntausende Webseiten kompromittiert, mit Krypto-Minern infiziert, für Phishing-Kampagnen missbraucht oder vollständig lahmgelegt. Das präventive Agieren des Sicherheitsteams beim aktuellen Vorfall zielt darauf ab, ein ähnliches Szenario im Jahr 2026 durch eine rechtzeitige Mobilisierung der Administratoren zu verhindern.

Empfohlene Sicherheitsmaßnahmen für IT-Verantwortliche

Da das exakte Bedrohungsszenario erst mit dem Schließen des Release-Fensters um 21:00 Uhr UTC vollständig transparent wird, sollten Systemadministratoren und Webagenturen im Vorfeld konkrete organisatorische Vorkehrungen treffen:

  1. Versionsprüfung: Ermittlung der exakten Versionsnummern aller verwalteten Drupal-Instanzen zur Feststellung der unmittelbaren Betroffenheit.
  2. Backup-Strategie: Erstellung vollständiger und verifizierter Backups der Anwendungsdatenbanken sowie des Dateisystems unmittelbar vor dem Patch-Fenster.
  3. Infrastruktur-Vorbereitung: Überprüfung der automatisierten Deployment-Pipelines (z. B. via Composer), um die fehlerbereinigten Versionen (11.3.x, 11.2.x, 10.6.x, 10.5.x) nach ihrer Freigabe ohne Zeitverzögerung einspielen zu können.

Sobald die offizielle Sicherheitswarnung am heutigen Abend online geht, müssen zudem die darin enthaltenen Hinweise zur Schadensminimierung (Mitigation Information) analysiert werden, falls ein sofortiges Einspielen des Kern-Updates aus betrieblichen Gründen temporär verzögert erfolgen muss.


Autorenbild Lisa Löw

Lisa

Löw

Junior Online-Redakteurin

IT-Verlag

Anzeige
Anthropic Talk To Claude
20. Mai 2026
Karpathy wechselt zu Anthropic: OpenAI-Mitbegründer verstärkt Claude-Team
npm
20. Mai 2026
Wettlauf im Open-Source: Nachahmer nutzen Shai-Hulud-Code für NPM-Angriffe
Drupal, Bildquelle: Pe3k/Shutterstock
20. Mai 2026
Hochkritische Sicherheitslücke: Drupal kündigt Notfall-Patch an
Datenleck, samsung datenleck, samsung hack, samsung schadensersatz, Samsung, Schadensersatz
20. Mai 2026
Samsung droht historischer Generalstreik

Weitere Artikel

Karpathy wechselt zu Anthropic: OpenAI-Mitbegründer verstärkt Claude-Team
Wettlauf im Open-Source: Nachahmer nutzen Shai-Hulud-Code für NPM-Angriffe
Samsung droht historischer Generalstreik
Schlag gegen Fox Tempest: Microsoft zerschlägt Zertifikate-Kartell
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.