Volver al Blog
Ciberseguridad 20 de mayo de 2026 5 min read

Drupal lanza parche de emergencia 'Altamente Crítico' — exploit sin autenticación posible en horas

Drupal publicó una actualización de emergencia para todas las ramas soportadas por una vulnerabilidad sin autenticación calificada 20/25 en su escala de severidad. El equipo de seguridad advirtió que los exploits podrían aparecer horas después de la divulgación.

Drupal lanza parche de emergencia 'Altamente Crítico' — exploit sin autenticación posible en horas

El 20 de mayo de 2026, Drupal publicó una actualización de seguridad de emergencia para todas las ramas activamente soportadas. La vulnerabilidad tiene una calificación de 20/25 en la escala de severidad de Drupal — “Altamente Crítico” — y no requiere autenticación ni acceso previo para ser explotada. Un atacante remoto sin autenticar puede alcanzar el máximo impacto sobre Confidencialidad e Integridad: acceso arbitrario a datos, modificación y eliminación en el sitio objetivo.

El equipo de seguridad omitió deliberadamente los detalles técnicos durante la ventana programada de parches (17:00–21:00 UTC) para evitar que se desarrollaran exploits antes de que los administradores pudieran reaccionar. El aviso oficial advierte con claridad: “se podrían desarrollar exploits en horas o días tras este anuncio”. Al momento de la publicación, no se había asignado un identificador CVE público.

Versiones afectadas

Todo sitio que ejecute las siguientes versiones debe actualizar de inmediato:

  • Drupal 10.5.x → actualizar a 10.5.x+1
  • Drupal 10.6.x → actualizar a 10.6.x+1
  • Drupal 11.2.x → actualizar a 11.2.x+1
  • Drupal 11.3.x → actualizar a 11.3.x+1

También se publicaron parches retroportados para las ramas en fin de vida 8.9 y 9.5, pensados en sitios que aún no han migrado. Drupal 7 no está afectado.

Cómo aplicar el parche

Mediante Composer — la vía más rápida para la mayoría de configuraciones de hosting:

composer update drupal/core
drush updb -y
drush cr

Si usas la interfaz de administración de Drupal, navega a Administrar → Informes → Actualizaciones disponibles y sigue el asistente. Los sitios en hosting gestionado (Pantheon, Acquia, Platform.sh) deben revisar su panel de control para notificaciones de actualización con un clic, activadas automáticamente por la plataforma.

Por qué la autenticación cero es el peor escenario

Una puntuación de severidad tan alta con requisitos de cero autenticación y cero complejidad de acceso significa que no se necesita ningún token de sesión, clave API ni rol especial — basta con una conexión de red. La superficie de ataque es la totalidad de los sitios Drupal accesibles públicamente en internet. La combinación de impacto máximo en Confidencialidad e Integridad permite a los atacantes leer y escribir en la base de datos: extraer credenciales, plantar puertas traseras o desfigurar contenido.

Drupal impulsa aproximadamente el 2,2% de todos los sitios web con CMS conocido, incluidos portales gubernamentales, universidades e intranets corporativas en la UE y EE. UU. A esa escala, un fallo crítico sin autenticación atrae escáneres automatizados en cuestión de horas tras cualquier PoC público.

Qué hacer ahora mismo

  1. Aplicar el parche — ejecuta composer update drupal/core antes de seguir leyendo.
  2. Revisar los registros en busca de solicitudes anómalas en las horas previas al parche.
  3. Verificar cuentas de usuario por asignaciones inesperadas del rol administrador.
  4. Si gestionas sitios de clientes: trátalo como P0, no como mantenimiento programado.

El identificador CVE y la divulgación técnica completa se publicarán una vez cerrada la ventana de parches y confirmada la adopción generalizada.

drupal ciberseguridad cve cms parche