Il team di sicurezza di Drupal ha emesso un avviso di massima urgenza, annunciando un aggiornamento di sicurezza core per tutte le versioni supportate del CMS basato su PHP. Secondo il Drupal Security Team, gli exploit potrebbero essere sviluppati nel giro di ore o giorni e ciò suggerisce che la vulnerabilità in questione sia di natura critica, anche se i dettagli tecnici precisi non sono stati divulgati prima del rilascio ufficiale (una pratica standard per evitare che i malintenzionati possano sfruttare la falla prima che le patch siano disponibili).

L’aggiornamento di sicurezza riguarda le seguenti versioni supportate di Drupal core:

  • 11.3.x
  • 11.2.x
  • 10.6.x
  • 10.5.x

Per i siti che si trovano già su queste versioni, la raccomandazione è di aggiornarsi subito all’ultima patch release disponibile per il proprio branch, in modo da arrivare preparati alla finestra di aggiornamento senza dover gestire eventuali problemi tecnici di upgrade all’ultimo momento.

Un aspetto particolarmente significativo di questo aggiornamento riguarda le versioni end-of-life (EOL), ovvero quelle che non ricevono più supporto ufficiale. In via del tutto eccezionale, Drupal ha deciso di rilasciare patch anche per i branch 11.1.x e 10.4.x, normalmente fuori supporto. Questo dettaglio rafforza l’idea che la vulnerabilità sia considerata molto grave dal team di sviluppo.

Le indicazioni specifiche per queste versioni sono:

  • I siti su Drupal 11.1 o 11.0 devono aggiornarsi ad almeno la versione 11.1.9
  • I siti su Drupal 10.4, 10.3, 10.2, 10.1 o 10.0 devono aggiornarsi ad almeno la versione 10.4.9

vulnerabilità Drupal

Dopo aver applicato la patch di sicurezza, questi siti dovranno comunque pianificare una migrazione verso Drupal 11.3 o 10.6 nel breve periodo, poiché il supporto straordinario non è una soluzione a lungo termine.

Drupal 8 e 9: patch manuali senza garanzie

Per i siti ancora fermi su Drupal 8 o 9 (versioni ormai obsolete e completamente fuori supporto), Drupal metterà a disposizione file di patch manuali rispettivamente per le versioni 8.9 e 9.5. Tuttavia, il team ha chiaramente avvertito che non ci sono garanzie che queste patch funzionino correttamente e che potrebbero addirittura introdurre regressioni o nuovi problemi.

Il consiglio è comunque quello di applicarle come misura di mitigazione temporanea, ma Drupal è esplicito nel raccomandare un aggiornamento urgente almeno a Drupal 10.6. Questo perché Drupal 8 e 9 contengono già numerose vulnerabilità di sicurezza precedentemente divulgate che non verranno risolte né da Drupal Steward, né dalle patch di emergenza.

Una nota positiva riguarda Drupal 7, che secondo il team di sicurezza non è affetto dalla vulnerabilità in questione. I gestori di siti ancora su questa versione possono dunque tirare un sospiro di sollievo, almeno per quanto riguarda questo specifico problema, anche se la migrazione verso versioni più moderne rimane comunque consigliata per ragioni generali di sicurezza.

(Immagine in apertura: Shutterstock)