El Equipo de Seguridad de Drupal emitió el 18 de mayo un aviso preventivo (PSA) sobre una vulnerabilidad de nivel «Altamente Crítico» en Drupal Core, con una puntuación de riesgo de 20/25. El parche correctivo fue liberado hoy, 20 de mayo de 2026, entre las 17:00 y las 21:00 UTC. (14:00 y las 18:00 ARG)
Versiones con soporte activo (actualizar de inmediato)
Se publicarán releases de seguridad para todas las ramas soportadas actualmente: 11.3.x, 11.2.x, 10.6.x y 10.5.x.
Versiones en fin de vida (Drupal 10 y 11)
Dada la severidad del problema, el equipo de seguridad realizará una excepción y publicará parches para 11.1.x y 10.4.x. Los sitios en Drupal 11.1 o 11.0 deben actualizar al menos a la versión 11.1.9, y los sitios en Drupal 10.4, 10.3, 10.2, 10.1 o 10.0 deben actualizar al menos a la versión 10.4.9.
Versiones EOL mayores (Drupal 8 y 9)
No se crearán releases oficiales, pero se proveerán archivos de parche manuales para Drupal 8.9 y 9.5. Estos parches no están garantizados y pueden introducir otros errores. Se recomienda enfáticamente actualizar a Drupal 10.6 a la brevedad, ya que Drupal 8 y 9 acumulan numerosas otras vulnerabilidades previamente divulgadas.
Drupal 7
Drupal 7 no se encuentra afectado.
Mitigación disponible: Drupal Steward
Este problema está siendo gestionado por Drupal Steward. Los sitios que lo utilizan ya están protegidos contra los vectores de ataque conocidos, aunque de todas formas deberían actualizar en el corto plazo ante la posibilidad de que se descubran vectores adicionales.
Nota para CISOs: Aunque el exploit es actualmente teórico, el historial de vulnerabilidades críticas en CMS de amplia distribución (ej. Drupalgeddon) demuestra que la ventana entre publicación del parche y aparición de exploits funcionales puede ser extremadamente corta. Se recomienda tratar esta actualización con prioridad P1 y activar los canales de respuesta a incidentes preventivamente.
El modelo de puntuación de riesgo de Drupal: PSA-2026-05-18 en detalle
Drupal evalúa la severidad de sus vulnerabilidades en cinco dimensiones. PSA-2026-05-18 obtiene la peor calificación posible en casi todos los ejes:
| Dimensión | Puntuación | Implicancia |
|---|---|---|
| Complejidad de acceso | Ninguna | Explotación trivial, sin condiciones especiales |
| Autenticación | Ninguna | Cualquier visitante anónimo puede desencadenar el ataque |
| Impacto en Confidencialidad | Total | Toda la base de datos Drupal queda expuesta |
| Impacto en Integridad | Total | El atacante puede modificar o eliminar contenido libremente |
| Disponibilidad | No máximo | Único factor que impidió el puntaje perfecto de 25/25 |
El único punto que evitó una puntuación perfecta es la Disponibilidad —aunque esto es un matiz menor, ya que la destrucción de datos por sí sola puede dejar un portal fuera de servicio durante días.
Fuente: Boletin Drupal PSA-2026-05-18