o sistema de gerenciamento de conteúdo de código aberto, amplamente popular em todo o mundo, drupal, publicou recentemente um aviso de segurança urgente, anunciando que lançará patches de segurança para o núcleo, cobrindo todas as versões suportadas, entre 17h00 e 21h00 utc de 20 de maio de 2026. esta atualização visa corrigir diversas vulnerabilidades de gravidade alta a crítica, algumas das quais apresentam potencial para execução remota de código ou elevação de privilégios. em razão disso, o drupal adotou uma medida incomum ao emitir um alerta antecipado, recomendando que todas as equipes de operações programem imediatamente janelas de atualização.
essa divulgação preventiva, por si só, envia um sinal claro: as vulnerabilidades são fáceis de explorar, têm impacto generalizado e representam riscos significativos. dados históricos mostram que, poucas horas após o lançamento desses patches de núcleo, códigos de exploração públicos e ferramentas automatizadas de ataque costumam surgir rapidamente. isso significa que, a cada minuto entre a liberação do patch e sua implantação, sites não corrigidos permanecem expostos a ameaças reais de ataque.
nem todos os cenários de implantação são afetados, mas as avaliações de risco não podem se basear apenas na experiência. a equipe de desenvolvimento do drupal enfatiza que os gatilhos das vulnerabilidades estão intimamente ligados a combinações específicas de módulos, configurações e extensões de terceiros; verificar apenas os números de versão não é suficiente para determinar se um site está em risco. administradores devem realizar varreduras do ambiente e avaliações de impacto durante janelas de manutenção programadas, implementando correções emergenciais ou estratégias temporárias de mitigação, conforme necessário, para evitar a “janela dourada” em que ataques podem ocorrer logo após o lançamento de um patch.
esta atualização de segurança abrangerá simultaneamente as principais ramificações atualmente suportadas: drupal 11.3.x, 11.2.x, 10.6.x e 10.5.x. notavelmente, a equipe disponibilizou, de forma excepcional, patches dedicados às versões em fim de vida — 11.1.x e 10.4.x —, uma medida pouco convencional que reforça ainda mais o fato de que a gravidade dessas vulnerabilidades ultrapassa os padrões habituais de resposta.
para sistemas legados que ainda executam o drupal 8 e 9, a equipe lançará patches emergenciais adaptados às versões 8.9.x e 9.5.x, mas os classifica explicitamente como “soluções emergenciais temporárias”: esses patches não passaram por testes completos de regressão, não garantem a eliminação total dos riscos e podem introduzir problemas de compatibilidade ou regressões funcionais. as autoridades recomendam enfaticamente que qualquer site ainda utilizando as versões 8.x ou 9.x encare este incidente como uma oportunidade crítica de migrar para o drupal 10.6.x ou para uma versão estável mais recente — pois muitas vulnerabilidades conhecidas e não corrigidas nas versões antigas não podem ser sanadas por meio de correções isoladas, e continuar utilizando-as mantém múltiplas camadas de lacunas de segurança.
É importante ressaltar que, embora o drupal 7.x não esteja atualmente incluído no escopo desta vulnerabilidade, o suporte oficial a ele foi oficialmente encerrado em novembro de 2022. com centenas de falhas de alta gravidade já divulgadas e ainda não corrigidas, o drupal 7 tornou-se um alvo extremamente vulnerável. portanto, todas as implantações do drupal 7 precisam migrar urgentemente para versões suportadas, em vez de focar exclusivamente no escopo deste anúncio.
