Drupal 11.3.11 Parche de Seguridad Urgente Llega el 20 de Mayo para Mitigar Vulnerabilidad Altamente Crítica
- 29 May 2026 01:09 AM
El proyecto Drupal ha lanzado la versión 11.3.11, una actualización de seguridad programada para el 20 de mayo de 2026, que aborda una vulnerabilidad catalogada como "altamente crítica". Disponible para todas las ramas soportadas (11.3.x, 11.2.x, 10.6.x y 10.5.x), se insta a los administradores de sitios a aplicar el parche con carácter urgente, ya que los exploits podrían desarrollarse en cuestión de horas o días tras la divulgación pública. Los detalles técnicos de la vulnerabilidad se mantienen bajo embargo hasta la hora del lanzamiento, pero el equipo de seguridad de Drupal ha confirmado que afecta al núcleo de Drupal en versiones 8 y posteriores, y que se proporcionarán parches incluso para las ramas con fin de vida útil (EOL) como 11.1.x y 10.4.x debido a la gravedad del fallo en equipos de cómputo.
El equipo de seguridad de Drupal ha emitido un aviso urgente (PSA-2026-05-18) anunciando una liberación de seguridad central para todas las ramas compatibles, fijada para el 20 de mayo de 2026 entre las 17:00 y las 21:00 UTC.
La versión 11.3.11 es la actualización designada para la rama más moderna del CMS, que soluciona esta vulnerabilidad crítica y refuerza la estabilidad general de la plataforma.
El Aviso Previo: Una Advertencia Inusual
Días antes del lanzamiento, Drupal emitió una advertencia pública inusual, instando a los administradores a "reservar tiempo para las actualizaciones del núcleo".
Esta comunicación, poco común en el proyecto, subraya la gravedad de la vulnerabilidad y la posibilidad de que los atacantes desarrollen exploits en cuestión de "horas o días" después de que los parches sean públicos.
El mensaje indicaba que "no todas las configuraciones se ven afectadas", por lo que se debía evaluar el impacto durante la ventana de lanzamiento.
Vulnerabilidad Altamente Crítica: Lo que se Sabe
Aunque los detalles técnicos de la vulnerabilidad se mantuvieron bajo embargo hasta el momento del lanzamiento, la naturaleza de la comunicación oficial y la cobertura de los medios de ciberseguridad apuntan a que se trata de un problema de alta criticidad.
La decisión de proporcionar parches incluso para versiones con fin de vida útil (EOL), como las ramas 11.1.x y 10.4.x, es una prueba más de la excepcional gravedad del fallo.
Versiones Afectadas y Parcheadas
La actualización de seguridad está disponible para todas las ramas de Drupal que reciben soporte activo, así como para algunas ramas antiguas que ya han llegado al final de su vida útil.
La versión 11.3.11 es la actualización designada para la serie 11.3.x.
Los sitios en las siguientes versiones deben actualizar para protegerse contra la vulnerabilidad:
| Rama de Drupal | Versión Parcheada | Estado de Soporte |
|---|---|---|
| 11.3.x | 11.3.11 | Soportada (Activa) |
| 11.2.x | 11.2.13 | Soportada |
| 11.1.x / 11.0.x | 11.1.9 | Fin de vida útil (EOL) |
| 10.6.x | 10.6.10 | Soportada |
| 10.5.x | 10.5.11 | Soportada |
| 10.4.x (y anteriores) | 10.4.9 | Fin de vida útil (EOL) |
Fuente: Drupal Security Team PSA-2026-05-18
Drupal 8 y 9: No hay parches oficiales, pero sí soluciones alternativas
Para los sitios que aún operan en las versiones Drupal 8 o 9 (que han llegado al final de su vida útil y no reciben soporte oficial), el equipo de seguridad publicará archivos de corrección (hotfix) para las versiones 9.5 y 8.9, permitiendo una solución temporal para quienes ejecutan 9.5.11 o 8.9.20.
Sin embargo, la recomendación oficial es actualizar a una versión soportada (Drupal 10.6 o 11.3) lo antes posible, ya que estas ramas antiguas pueden contener otras vulnerabilidades no parcheadas.
Requisitos de PHP para Drupal 11.3.11
La versión 11.3.11 mantiene los mismos requisitos de PHP que el resto de la serie 11.3.x. Según la documentación oficial de Drupal, la compatibilidad con versiones de PHP para la rama 11.3.x es la siguiente:
| PHP 8.3 | PHP 8.4 | PHP 8.5 |
|---|---|---|
| ✅ Sí (Mínimo soportado) | ✅ Sí (Recomendado) | ✅ Sí |
- PHP 8.3 es la versión mínima para ejecutar Drupal 11.3.x.
- PHP 8.4 es la versión recomendada, ya que ofrece mejoras de rendimiento y seguridad.
- PHP 8.5 es oficialmente compatible con Drupal 11.3.x y se recomienda su uso en entornos de producción.
El equipo de desarrollo de Drupal ha estado realizando pruebas de integración continua (CI) con PHP 8.5 para prevenir regresiones y garantizar la compatibilidad a largo plazo.
Esto significa que los sitios que ya han migrado a PHP 8.5 pueden actualizar a Drupal 11.3.11 sin problemas de compatibilidad adicionales.
Disponibilidad y Cómo Actualizar
Drupal 11.3.11 ya está disponible para su descarga e instalación. Los administradores de sitios deben aplicar esta actualización con carácter prioritario debido a la criticidad de la vulnerabilidad y al riesgo de exploits públicos inminentes.
Enlaces oficiales
- Sitio web oficial: drupal.org
- Portal de seguridad: drupal.org/security
- Página de lanzamientos: drupal.org/project/drupal/releases
- Aviso de seguridad PSA-2026-05-18: drupal.org/psa-2026-05-18
Métodos de actualización
Usando Composer (recomendado):
composer update "drupal/core-*" --with-all-dependencies
Actualización manual:
- Descargar el paquete desde la página de lanzamientos de Drupal Core en drupal.org
- Reemplazar los archivos del núcleo (core) en la instalación existente
- Ejecutar
update.phpo utilizar Drush (drush updatedb)
Protección adicional: Drupal Steward
Los sitios que utilizan Drupal Steward (el servicio de protección proactiva de Drupal) ya estaban protegidos contra los vectores de ataque conocidos antes del lanzamiento del parche.
Sin embargo, se recomienda igualmente aplicar la actualización por si se descubren vectores de ataque adicionales en el futuro.
Pasos a seguir para administradores de sitios
La Universidad de Michigan, a través de su servicio de seguridad informática, ha publicado una guía de acción para los administradores de sitios Drupal:
Antes de la actualización (recomendado):
- Actualizar a la última versión de parche (bugfix) de la rama correspondiente para abordar cualquier problema de actualización antes de la ventana de seguridad.
Durante la ventana de lanzamiento (20 de mayo, 17:00-21:00 UTC):
- Determinar si el sitio está afectado: Revisar el aviso de seguridad (publicado durante la ventana) para identificar si la configuración del sitio es vulnerable.
- Aplicar la actualización: Instalar la versión 11.3.11 (o la correspondiente a su rama) tan pronto como sea posible después de las pruebas pertinentes.
Esta actualización de seguridad es particularmente importante para organizaciones en los sectores gubernamental, educativo y sanitario, donde Drupal tiene una gran penetración, y para sitios que manejan información sensible o están expuestos a ataques dirigidos.