Drupal 10.6.7: Alerta de Seguridad Crítica con un Conflicto Silencioso de PHP 8.4

La comunidad de desarrollo de Drupal ha publicado la versión 10.6.7, una actualización de seguridad clasificada como crítica para la serie 10.6.x.

Este lanzamiento, que forma parte de un esfuerzo coordinado para parchear versiones activas junto con las ramas 10.5.x, 11.2.x y 11.3.x , aborda tres vulnerabilidades específicas que afectan al núcleo de la plataforma.

Tres Vulnerabilidades en el Radar

La versión 10.6.7 soluciona los problemas documentados en los avisos oficiales SA-CORE-2026-001, SA-CORE-2026-002 y SA-CORE-2026-003.

A continuación se detalla cada una de ellas:

SA-CORE-2026-001: El Riesgo Crítico de XSS

Esta vulnerabilidad, identificada como CVE-2026-6365, representa el riesgo más alto de este lote.

Se trata de un fallo de Cross-Site Scripting (XSS) en la integración de jQuery para los cuadros de diálogo modales AJAX de Drupal core.

La falla reside en que el sistema no sanitiza suficientemente ciertas opciones, lo que podría permitir a un atacante inyectar scripts maliciosos en las ventanas emergentes del sitio.

Cuando un usuario administrador o editor visualiza el contenido manipulado, el script se ejecuta en su navegador, pudiendo robar cookies de sesión o realizar acciones en su nombre.

INCIBE ha calificado este fallo como importancia 5 - Crítica.

SA-CORE-2026-002: La Cadena de Gadgets (Gadget Chain)

Esta vulnerabilidad (CVE-2026-6366) describe una "cadena de métodos" presente en Drupal core que, aunque no es directamente explotable, representa un vector de ataque peligroso.

Si el sitio web tiene otra vulnerabilidad que permita la deserialización insegura de datos (por ejemplo, al procesar archivos de configuración maliciosos), esta cadena puede ser utilizada por un atacante para escalar privilegios y lograr ejecución remota de código (RCE) o inyección SQL en el servidor.

SA-CORE-2026-003: XSS en CKEditor 5

La tercera vulnerabilidad (CVE-2026-6367) afecta específicamente a Drupal 11.3 (aunque se menciona en el contexto general de seguridad, afecta principalmente a la rama moderna).

Es otro fallo de Cross-Site Scripting (XSS), esta vez relacionado con el soporte de autocompletado de entidades en el editor CKEditor 5.

Las sugerencias de autocompletado no se sanitizan adecuadamente, lo que permite a un usuario malintencionado desencadenar un ataque XSS almacenado contra otros usuarios que interactúen con el editor de texto enriquecido.

El Conflicto Silencioso: El Requisito Oculto de PHP 8.4

La actualización a Drupal 10.6.7 ha generado una situación compleja que va más allá de los simples parches de seguridad.

Numerosos administradores están reportando que el proceso de actualización mediante Composer falla si el servidor ejecuta una versión de PHP inferior a la 8.4.

La causa técnica:

Al ejecutar composer update, las dependencias del proyecto tiran de versiones actualizadas de paquetes externos (como symfony/css-selector, google/recaptcha o lcobucci/clock).

Estas nuevas versiones han sido actualizadas recientemente por sus respectivos desarrolladores y ahora exigen explícitamente PHP >= 8.4.

La contradicción oficial:

Esto contradice la documentación oficial de Drupal, que establece que Drupal 10.6 es oficialmente compatible con PHP 8.1, 8.2, 8.3 y 8.4.

En la práctica, actualizar a 10.6.7 parece obligar a un salto técnico a PHP 8.4, dejando atrás a los sitios que aún dependen de versiones anteriores del lenguaje por políticas de hosting o compatibilidad con otros módulos.

La paradoja ha generado confusión en la comunidad, donde algunos administradores reportan que, si logran sortear la restricción de Composer (forzando la actualización o modificando las dependencias), el sitio funciona correctamente en PHP 8.3, aunque con constantes errores de "deprecation".

Otros señalan que ciertos módulos contribuidos como google/recaptcha han endurecido sus requisitos, siendo los verdaderos culpables del bloqueo.

Disponibilidad y Cómo Actualizar

Drupal 10.6.7 ya está disponible para su descarga e instalación. Los administradores de sitios pueden actualizar a través de los métodos habituales:

Usando Composer:

Ejecutando composer update "drupal/core-*" --with-all-dependencies en la terminal del servidor.

Actualización manual:

Descargando el paquete desde la página de lanzamientos de Drupal Core en drupal.org y reemplazando los archivos del núcleo.

 

Dado que se trata de un lanzamiento de seguridad con clasificación "Crítica", se recomienda aplicar la actualización con carácter de urgencia. Sin embargo, los administradores deben ser conscientes del posible conflicto de PHP 8.4 y planificar la actualización del entorno de ejecución del lenguaje en sus servidores.

Antes de proceder, es fundamental realizar una copia de seguridad completa de la base de datos y los archivos del sitio, y probar el proceso en un entorno de ensayo (staging).

Fin del Soporte y Planificación Estratégica

La publicación de la versión 10.6.7 adquiere especial relevancia por su contexto en el calendario de soporte del proyecto:

• El soporte de seguridad para Drupal 10 termina en diciembre de 2026.
• Drupal 10.6 es la última serie estable de la rama 10.x antes de la migración obligatoria a Drupal 11 o 12.
• Las versiones de Drupal 8, 9 y 10.4 (y anteriores) ya han alcanzado su "fin de vida útil" (End of Life) y no reciben cobertura de seguridad .

Este es el momento de planificar la migración hacia Drupal 11.3.x o preparar la infraestructura para Drupal 12, especialmente si el entorno aún depende de PHP 8.3 o inferior.

El requisito implícito de PHP 8.4 para mantener las dependencias actualizadas es una señal clara de que la industria se mueve hacia versiones más modernas del lenguaje.