Drupal 11.3.7 Llega con Parches Críticos: Tres Vulnerabilidades XSS Resueltas

La comunidad de desarrollo de Drupal ha lanzado la versión 11.3.7, clasificada como una actualización de seguridad crítica para los sitios que operan en esta rama moderna del CMS.

Este lanzamiento de parche (patch release) aborda tres vulnerabilidades específicas que afectan al núcleo de la plataforma, reforzando la protección contra ataques de inyección de scripts y preparando el terreno para la futura hoja de ruta del proyecto.

Vulnerabilidades Corregidas: XSS y Riesgo de Ejecución de Código

La versión 11.3.7 soluciona tres problemas de seguridad documentados en los avisos oficiales SA-CORE-2026-001, SA-CORE-2026-002 y SA-CORE-2026-003 . A continuación se detalla cada una de ellas:

SA-CORE-2026-001 (Critico)

Se trata de una vulnerabilidad de Cross-Site Scripting (XSS) en la integración de jQuery para los cuadros de diálogo modales AJAX de Drupal core.

La falla reside en que el sistema no sanitiza suficientemente ciertas opciones, lo que podría permitir a un atacante inyectar scripts maliciosos en las ventanas emergentes del sitio.

Cuando un usuario administrador o editor visualiza el contenido manipulado, el script se ejecuta en su navegador, pudiendo robar cookies de sesión o realizar acciones en su nombre.

SA-CORE-2026-002 (Moderadamente crítico)

Esta vulnerabilidad describe una "cadena de gadgets" (Gadget Chain) presente en Drupal core. Aunque no es directamente explotable por sí misma, representa un vector de ataque peligroso.

Si el sitio web tiene otra vulnerabilidad que permita la deserialización insegura de datos (por ejemplo, al procesar archivos de configuración maliciosos), esta cadena de gadgets puede ser utilizada por un atacante para escalar el privilegio y lograr ejecución remota de código (RCE) o inyección SQL en el servidor.

SA-CORE-2026-003 (Moderadamente crítico)

La tercera vulnerabilidad es otro fallo de Cross-Site Scripting (XSS), esta vez relacionado con el soporte de autocompletado de entidades en el editor CKEditor 5, introducido en Drupal 11.3.

Las sugerencias de autocompletado no se sanitizan adecuadamente, lo que permite a un usuario malintencionado desencadenar un ataque XSS almacenado contra otros usuarios que interactúen con el editor de texto enriquecido.

Requisitos de PHP y Compatibilidad

Para los administradores que planean actualizar o instalar Drupal 11.3.7, es fundamental revisar los requisitos del lenguaje de servidor. Según la documentación oficial del proyecto, Drupal 11.3.x es compatible exclusivamente con PHP 8.3 y PHP 8.4.

Es importante destacar que PHP 8.3 es el requisito mínimo para ejecutar esta rama. Las versiones anteriores del lenguaje (8.1 y 8.2) ya no son compatibles.

Si el servidor ejecuta una versión de PHP no soportada, los propietarios del sitio recibirán advertencias en el informe de estado del sistema, y la exposición a vulnerabilidades de las dependencias podría aumentar con el tiempo.

Para aquellos que utilizan la rama 10.6.x (la otra rama activa), esta versión sigue siendo compatible con PHP 8.1 y 8.2, aunque Drupal recomienda migrar a versiones más modernas.

Disponibilidad y Cómo Actualizar

Drupal 11.3.7 ya está disponible para su descarga e instalación.

Los administradores de sitios pueden actualizar a través de los métodos habituales:

• Usando Composer: Ejecutando composer update "drupal/core-*" --with-all-dependencies en la terminal del servidor.
• Actualización manual: Descargando el paquete desde la página de lanzamientos de Drupal Core en drupal.org y reemplazando los archivos del núcleo.

Dado que se trata de un lanzamiento de seguridad con clasificación "Crítica", se recomienda aplicar la actualización con carácter de urgencia, especialmente en sitios que permiten la interacción de múltiples usuarios con roles de edición o administración.

Antes de proceder, es fundamental realizar una copia de seguridad completa de la base de datos y los archivos del sitio, y probar el proceso en un entorno de ensayo (staging) si es posible.