Drupal 10.5.9 y el Ocaso Inminente de la Serie 10: Última Parada Antes del Fin del Soporte en Junio
- 04 May 2026 03:25 AM
El proyecto Drupal ha lanzado la versión 10.5.9, una actualización de seguridad crítica que también representa la última parada oficial para los sitios que operan en esta rama. Disponible desde el 15 de abril de 2026, esta versión parchea vulnerabilidades críticas, incluyendo un fallo de XSS en los diálogos AJAX, mientras la plataforma se prepara para el fin del soporte el próximo mes. Se recomienda a los administradores planificar urgentemente la migración de sus equipos de cómputo a versiones más recientes para mantener la seguridad y funcionalidad de sus proyectos.
La comunidad de desarrollo de Drupal ha publicado la versión 10.5.9, una actualización de seguridad acumulativa para la serie 10.5.x.
Este lanzamiento adquiere una relevancia especial al ser de los últimos de su rama, ya que el soporte de seguridad para Drupal 10.5 finaliza en junio de 2026.
Los administradores de sitios deben considerar este parche como el paso previo inmediato a la migración hacia versiones modernas como Drupal 10.6.x, 11.x o la futura 12.x.
Vulnerabilidad Crítica Corregida: El Riesgo del XSS en jQuery
El principal motor de este lanzamiento es la corrección de una vulnerabilidad clasificada como Crítica en el sistema de evaluación de riesgos de Drupal, con una puntuación de 15 sobre 25.
Se trata de un fallo de Cross-Site Scripting (XSS) en la integración de jQuery para los cuadros de diálogo modales de Drupal core.
La vulnerabilidad, identificada como CVE-2026-6365, reside en que el sistema no sanitiza suficientemente ciertas opciones en estos diálogos.
Esta falla afecta a una amplia gama de versiones de Drupal, incluyendo las series 8.x, 9.x, 10.x y 11.x .
El Riesgo para el Administrador:
Un atacante podría engañar a un usuario con privilegios (como un editor o administrador) para que haga clic en un enlace especialmente manipulado.
Al cargarse el diálogo modal, el script malicioso se ejecutaría en el navegador de la víctima, pudiendo robar cookies de sesión, tomar el control de la cuenta o realizar cambios no autorizados en el sitio web alojado en el equipo de cómputo.
El Contexto Urgente: El Fin del Soporte para Drupal 10.5
La publicación de la versión 10.5.9 sirve como un recordatorio crítico del calendario de soporte del proyecto.
La serie Drupal 10.5.x está llegando al final de su vida útil.
- Fin del soporte de seguridad: Junio de 2026 .
Esto significa que después de junio de 2026, los sitios que permanezcan en la versión 10.5.x (o cualquier versión anterior) dejarán de recibir parches de seguridad, exponiéndose a todas las vulnerabilidades que se descubran en el futuro.
Las versiones de Drupal 8, 9 y 10.4 y anteriores ya han alcanzado su "fin de vida útil" (End of Life) y no reciben cobertura de seguridad.
Requisitos de PHP y Compatibilidad con Drupal 10
Para los administradores que estén planificando su estrategia de migración, es fundamental conocer la compatibilidad de las versiones de Drupal con el lenguaje de servidor PHP. La siguiente tabla, basada en la documentación oficial del proyecto, muestra qué versiones de PHP son compatibles con cada rama de Drupal:
| Drupal Version | PHP 8.1 | PHP 8.2 | PHP 8.3 | PHP 8.4 | PHP 8.5 |
|---|---|---|---|---|---|
| 10.5.x | ✅ Sí | ✅ Sí | ✅ Sí | ✅ Sí | ❌ No |
| 10.6.x | ✅ Sí | ✅ Sí | ✅ Sí | ✅ Sí | ⚠️ Posible |
| 11.3.x | ❌ No | ❌ No | ✅ Sí | ✅ Sí | ✅ Sí |
| 12.x (futuro) | ❌ No | ❌ No | ❌ No | ❌ No | ✅ Sí |
Es importante destacar que, aunque en teoría Drupal 10.6.x puede funcionar con PHP 8.5, el proyecto advierte que es probable que se generen avisos de obsolescencia (deprecation notices) y no se aceptarán informes de errores para esta configuración no oficial.
Disponibilidad y Cómo Actualizar
Drupal 10.5.9 ya está disponible para su descarga e instalación.
Los administradores de sitios pueden actualizar a través de los métodos habituales:
Usando Composer:
Ejecutando composer update "drupal/core-*" --with-all-dependencies en la terminal del servidor.
Actualización manual:
Descargando el paquete desde la página de lanzamientos de Drupal Core en drupal.org y reemplazando los archivos del núcleo.
Dado que se trata de un lanzamiento de seguridad con clasificación Crítica y la rama se acerca a su fin de vida, se recomienda aplicar la actualización con carácter de urgencia.
La Hoja de Ruta: El Futuro Más Allá de Drupal 10.5
Con el fin de la serie 10.5 acercándose rápidamente, los administradores de sitios deben considerar su estrategia de migración. Las opciones disponibles incluyen:
Actualizar a Drupal 10.6.x:
-
Esta sería una actualización de mantenimiento dentro de la misma versión mayor de Drupal 10.
-
La serie 10.6.x tiene soporte de seguridad garantizado hasta diciembre de 2026, lo que ofrece un respiro de seis meses adicionales para planificar una migración más compleja.
Migrar directamente a Drupal 11.3.x:
- Esta es la rama moderna del CMS, con soporte hasta diciembre de 2026 y que incluye las últimas funcionalidades y mejoras de rendimiento, como el uso de Fibers de PHP.
Prepararse para Drupal 12:
- Programado para finales de 2026, representa la vanguardia de la plataforma y requerirá PHP 8.5.
Mantenerse en versiones sin soporte (como 10.5.x después de junio de 2026) conlleva riesgos significativos de seguridad. La planificación y ejecución de la actualización son tareas críticas para cualquier equipo responsable de un sitio web en producción.