Teils kritische Schwachstellen in Drupal

Das Unternehmen Drupal veröffentlichte am 15. April 2026 Sicherheitshinweise zu den folgenden drei Schwachstellen in Drupal Core:

• CVE-2026-6366 ist eine Gadget-Chain-Schwachstelle, die Angreifenden unter bestimmten Umstände Remote Code Execution (RCE) ermöglicht.
• CVE-2026-6365 und CVE-2026-6367 sind Cross-Site-Scripting-Schwachstellen (XSS).

Von den Sicherheitslücken sind folgende Drupal-Versionen betroffen:

• 8.0.0 bis 10.5.8
• 10.6.0 bis 10.6.6
• 11.0.0 bis 11.2.10
• 11.3.0 bis 11.3.6

Drupal und das Bundesamt für Sicherheit in der Informationstechnik (BSI) vergeben unterschiedliche Kritikalitäten bzw. CVSS-Scores. Die Werte schwanken zwischen kritisch und mittel. Dennoch sollten Nutzende die Sicherheitslücken schnellstmöglich beheben, da auch die folgenden End-of-Life-Versionen (EOL) betroffen sind, die von Drupal nicht mehr mit Patches versorgt werden:

• 11.1.x
• 11.0.x
• 10.4x
• 9
• 8

Daher sollten Betroffene umgehend auf eine weiterhin mit Updates versorgte, abgesicherte Drupal-Version wechseln, um gegen die Lücken gewappnet zu sein.

• Installieren Sie umgehend und je nach Konfiguration die Drupal-Version 10.5.9, 10.6.7, 11.2.11 oder 11.3.7.
• Wenn Sie die Drupal-Version 11.1.x, 11.0.x, 10.4x, 9 oder 8 einsetzen, wechseln Sie schnellstmöglich auf eine der genannten abgesicherten Versionen.