Zelfs end-of-lifeversies cms Drupal krijgen update voor kritieke kwetsbaarheid

De Drupal Foundation, maker van het opensource-contentmanagementsysteem (cms) Drupal, waarschuwt voor een zeer kritieke kwetsbaarheid. Woensdagavond brengen de makers een update uit voor vrijwel alle versies van de software en verzoeken gebruikers om deze direct te installeren.

Alle ondersteunde versies van Drupal krijgen volgens de makers vanavond een update, zo merkt Security.nl op. Zelfs versies die end-of-life (eol) zijn, krijgen vanwege de ernst van de situatie een update. De volgende versies van Drupal krijgen een update:

11.3.x
11.2.x
10.6.x
10.5.x
11.1.x en 10.4.x (eol)
8.5 en 9.5 (eol)

Gebruikers die versie 11.x en 10.x hebben moeten eerst updaten naar respectievelijk Drupal 11.1.9 en 10.4.x voordat zij de update kunnen installeren. Iedereen met Drupal 9 of 8 moet eerst naar respectievelijk versie 9.5.11 en 8.9.20 upgraden voordat zij de update kunnen uitrollen.

Volgens de makers van de opensourcesoftware is de kwetsbaarheid dermate kritiek dat gebruikers vanavond klaar moeten zitten om de update te installeren. Er zou namelijk een risico bestaan dat kwaadwillenden 'binnen enkele uren of dagen' een exploit ontwikkelen. De update verschijnt tussen 19.00 en 23.00 uur.

Overigens benadrukken de makers dat de vermelde eol-versies van Drupal niet meer gebruikt zouden moeten worden, omdat deze versies meer kwetsbaarheden bevatten die nooit zijn opgelost.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Yannick Spinner

Redacteur

Feedback • 20-05-2026 17:58
28 • submitter: KeizerWilmer

20-05-2026 • 17:58

Submitter: KeizerWilmer

Lees meer

Drupal CMS 2.1.0 Download van 25 maart 2026

Drupal CMS 1.0 Download van 16 januari 2025

Drupal 7.95 / 9.4.12 / 9.5.5 / 10.0.5 Download van 17 maart 2023

End-of-lifedatum van Drupal 7 is een jaar opgeschoven naar 1 november 2023

End-of-lifedatum van Drupal 7 is een jaar opgeschoven naar 1 november 2023 Nieuws van 24 februari 2022

Meer producten en artikelen

Beveiliging en antivirus Cms Drupal Update

Reacties (28)

28

28

6

1

0

22

Wijzig sortering

fenrirs 20 mei 2026 18:05

En hoeveel vergeten Drupal installaties zijn er? Af en toe kom je nog een obscure site tegen bij een zoektocht waar dan al jaren niemand meer iets op heeft gepost. Met andere woorden waarschijnlijk heeft de beheerder ook al jaren geen interesse meer in de site.
Dit soort sites gaan die update niet krijgen en worden dus sitting ducks.

Nog zo’n ding, mijn vereniging heeft ook een Drupal site. Beheerd door neefje van voorzitter. Dat neefje studeert nu in Frankrijk en heeft waarschijnlijk hele andere dingen aan zijn hoofd/….

Ook die situatie zal zich vaak voordoen, vrees ik

Weet iemand of hosters hier actief op screenen? Digital ocean en Linode volgens mij al niet. Laat staan kleinere hosting partijen .

Off topic: ligt het aan mij of is speech to tekst de laatste tijd veel slechter geworden op iOS?

[Reactie gewijzigd door fenrirs op 20 mei 2026 18:11]

Bender @fenrirs • 20 mei 2026 18:29

Digital Ocean en Linode zijn ook geen goed voorbeeld hiervoor.

Die leveren gewoon een kale onbeheerde vps, die weten en zien niet wat er op je server gebeurt.
Terwijl je bij een webhoster je een klein stukje op hun server hebt, zij zien dus de files wel en doen mogelijk daar wel monitoring op.

ApexAlpha @Bender • 20 mei 2026 19:19

Je kan extern gewoon scannen he om te zien of en wat er draait.

Ik was laatst een poort vergeten te sluiten en binnen een dag had ik een e-mail van Duitse evenknie van NCSC erover, of ik die even wilde sluiten.

Bender @ApexAlpha • 20 mei 2026 20:12

Maar dan moet je wel weten waar iets extern staat, tenzij je Google gaat scannen en op basis daarvan weer vandaan gaat halen waar iets staat.
Dat is niet heel efficient natuurlijk.

ApexAlpha @Bender • 20 mei 2026 20:13

Nouja een datacenter weet zijn eigen (externe) ips wel en met :80 en :443 en heb >98% van alle installaties wel gehad.

keejoz @fenrirs • 20 mei 2026 19:08

Combell / Team Blue scant wel degelijk voor malware en exploits voorzover ik weet.

mocean @fenrirs • 20 mei 2026 19:08

Ik krijg van mijn host zelfs meldingen als ik ergens een vergeten CMS heb draaien (VPS), best handig! Had ook nog ergens een oude Wordpress draaien op PHP 7.x... Maar kreeg wel mail dat ik MOET updaten.

DefaultError @fenrirs • 20 mei 2026 19:09

Volgens mij is “geen geld” de reden om niet mee te gaan in updates of nieuwe versies. De meeste verenigingen en kleine organisaties besteden hierdoor nauwelijks aandacht aan hun site. De meeste garen worden gesponnen op FB of Insta is de gedachte.

Er zijn genoeg CMS’en die een prima aanbod hebben ook Drupal. En vaak wordt er te complex door een handige neef/nicht iets in elkaar gezet.

@fenrirs • 20 mei 2026 19:30

Mogelijk dat je een export to html plugin hebt. Die heb je wel voor wordpress iig.
Tegenwoordig maak ik alleen nog maar websites in html. Nu ben ik by far geen webdesigner maar voor huis tuin en keuken websites kom je prima weg met iets wat statisch is zonder kans op bots die je websites lek schieten als je een keer een patch heb gemist.

Accretion 20 mei 2026 18:29

Eigenlijk is het raar om EoL wel te voorzien van updates?

Als je een EoL versie draait, hoef je dus niet te upgraden, want je krijgt toch wel updates?

kuurtjes @Accretion • 20 mei 2026 18:40

Soms is een exploit zo gevaarlijk dat dat wel eens gebeurd. Ik heb het bij andere projecten ook al meerdere keren gezien.

Bedge85 @Accretion • 20 mei 2026 18:43

Ja, ik vind dit ook ingewikkeld aan Apple. Super fijne dat ze nog echt oude toestellen ondersteunen. Maar gewoon een duidelijk EOL zo ook wel weer een stuk duidelijkheid geven over tot wanneer het veilig is een versie te gebruiken en wanneer dat ophoud.

Ergomane 20 mei 2026 18:36

In https://www.drupal.org/psa-2026-05-18 staat dat dit alleen installaties met "uncommon" configuratie betreft, dus hopelijk wordt de soep niet zo heet gegeten.

Jerrythafast @Ergomane • 20 mei 2026 19:31

Aan het toch wel heel dringende taalgebruikt blijkt alsnog dat er een grote groep lijkt te zijn die wél hete soep gaat eten. "Target Distribution: Uncommon" is weliswaar de naam van de categorie waar deze bug in valt, maar er zijn maar 2 alternatieven daarvoor: "Default" of "All". Dus het enige dat je hieruit kunt opmaken is dat het niet alle installaties treft en dat het met default configuratie niet uit te buiten is. Maar dat zegt eigenlijk niks over hoe veelvoorkomend de vatbare configuratie dan wél is. Door de naamskeuze van de categorie lijkt het net alsof dat niet vaak zal zijn, maar eigenlijk weten we dat dus niet.

Behalve deze en de categorie "Exploit (zero-day impact): Theoretical" (d.w.z. er is nog geen publieke documentatie over hoe het kan worden uitgebuit verschenen) scoort deze bug op alle metrieken de maximale score: ongeauthenticeerde bezoekers kunnen met deze bug schrijftoegang krijgen tot "alle" data door simpelweg een bepaalde URL te bevragen.

Ik ben nu vooral wel benieuwd welke configuratie niet op "Default" moet staan om tot deze hete-soep-etende groep toe te treden

[Reactie gewijzigd door Jerrythafast op 20 mei 2026 19:33]

Ergomane @Jerrythafast • 20 mei 2026 19:39

De commit is inmiddels publiek. Ik schat < 10% getroffen. Dat is in absolute aantallen natuurlijk nog best fors.

[Reactie gewijzigd door Ergomane op 20 mei 2026 19:39]

Mathijs1 20 mei 2026 19:23

Waarschijnlijk door deze CVE: https://symfony.com/blog/cve-2026-46640-arbitrary-php-code-execution-via-self-string-macro-reference-compilation , ook genoemd op https://symfony.com/blog/twig-3-26-0-released

Dan zou je installatie dus alleen kwetsbaar zijn als je een Drupal template hebt die Twig als template engine gebruikt (https://www.drupal.org/docs/develop/theming-drupal/twig-in-drupal)

[Reactie gewijzigd door Mathijs1 op 20 mei 2026 19:25]

Ergomane @Mathijs1 • 20 mei 2026 19:40

Update: de commit is inmiddels beschikbaar in de core repo. Het betreft een issue in core zelf (los van de symfony cve's waar mensen ook te maken mee kunnen krijgen).

Jjtje @Ergomane • 20 mei 2026 20:09

Linkje? Kan het niet vinden!

Ergomane @Jjtje • 20 mei 2026 20:16

De announcement is inmiddels ook live op https://www.drupal.org/sa-core-2026-004 dus voel ik me niet meer geremd om de commit te linken: https://git.drupalcode.org/project/drupal/-/commit/ea9524d9c75dd4fcbaf5d4a823c7f571de7d546c

Het gaat om een SQLinjection issue in de Postgresql database driver. Die wordt door een kleine minderheid van de Drupal sites gebruikt.

Jjtje @Ergomane • 20 mei 2026 20:22

Dank is groot voor het linkje. Dan hoef ik niet vanaf mijn vakantie adres meteen actie te ondernemen haha.

Ergomane @Jjtje • 20 mei 2026 20:27

Ik ga ook weer lekker chillen

En hopen op een week waar het even niet CVEs regent.

Ergomane @Mathijs1 • 20 mei 2026 19:35

Dat lijkt me sterk, Drupal brengt geen security announcements uit voor upstream kwetsbaarheden.

kuurtjes 20 mei 2026 18:44

Ik vind het raar dat ze de exploit zo erg doen blijken maar dan maar 2 dagen notice geven.

K0L3N @kuurtjes • 20 mei 2026 19:17

Waarschijnlijk wordt deze actief misbruikt en hebben ze asap een patch geproduceerd

Ergomane @K0L3N • 20 mei 2026 19:34

Het is geen zeroday.

RaZer0r 20 mei 2026 18:13

Ik heb even mij mijn host gecheckt, en daar wordt wel gescand. En een mail gestuurd naar de eigenaar. Ze wisten nog niet of ze actief zouden patchen, of de site uitschakelen bij het uitblijven van antwoord.

jb044 20 mei 2026 20:25

Tss alleen postgres is vulnerable, niet echt de default voor een drupal cms

Zidane007nl 20 mei 2026 20:51

De kwetsbaarheid is inmiddels naar buiten gebracht: SQL injectie in Drupal core (CVE-2026-9082). Het speelt alleen als er gebruik gemaakt wordt van PostgreSQL.

Om te kunnen reageren moet je ingelogd zijn