全球廣受歡迎的開源內容管理系統 drupal 近日發布了一則緊急安全公告,宣布將於 2026 年 5 月 20 日 17:00 至 21:00 utc 時間內,針對所有支援版本推出核心安全修補程式。此次更新旨在修復多項高至嚴重等級的漏洞,其中部分漏洞甚至可能導致遠端代碼執行或權限提升。因此,drupal 異常地發出了提前警示,呼籲所有運維團隊立即安排升級窗口。
這種先發制人的揭露本身傳遞出明確訊號:這些漏洞極易被利用、影響範圍廣泛,且潛在風險極高。歷史數據顯示,在此類核心修補程式釋出後的數小時內,公開可用的漏洞利用程式碼與自動化攻擊工具往往會迅速出現。這意味著,從修補程式發布到部署之間的每一分鐘,都可能讓未及時修復的網站暴露於真實世界的攻擊威脅之下。
並非所有部署場景都會受到影響,但風險評估不能僅憑經驗判斷。drupal 開發團隊強調,漏洞的觸發條件與特定模組組合、配置設定以及第三方擴充套件密切相關;單純檢視版本號並不足以判定網站是否處於風險之中。管理員必須在預定的維護窗口期間進行環境掃描與影響評估,並根據需要實施熱修補或臨時緩解措施,以避免在修補程式發布後立即發生攻擊的「黃金窗口」。
本次安全更新將同時涵蓋當前主流的支援分支:drupal 11.3.x、11.2.x、10.6.x 與 10.5.x。值得注意的是,團隊還破例為已終止支援的 11.1.x 與 10.4.x 版本提供了專用修補程式——這一非傳統做法進一步凸顯了這些漏洞的嚴重程度已超出一般應對標準。
對於仍運行 drupal 8 與 9 的舊版系統,團隊將推出針對 8.9.x 與 9.5.x 的緊急修補程式,但明確標示其為「臨時緊急方案」:這些修補程式尚未經過完整的回歸測試,無法保證完全消除風險,且可能引發相容性問題或功能退化。官方強烈建議所有仍在使用 8.x 或 9.x 的網站,將此次事件視為升級至 drupal 10.6.x 或更新穩定版本的關鍵機會——因為舊版中許多已知且未修復的高危漏洞,單靠孤立的修補措施難以解決,繼續運行這些版本實際上會使系統長期處於多重安全缺口的狀態。
值得注意的是,雖然 drupal 7.x 目前並未納入本次漏洞的修復範圍,但官方對其支援早已於 2022 年 11 月正式終止。由於仍有數百個已公開卻未修復的高危漏洞存在,drupal 7 已成為極易受攻擊的目標。因此,所有 drupal 7 的部署都應盡快遷移到支援版本,而不應僅聚焦於本次公告所涵蓋的範圍。
