Drupal 11.4.4 вышел 15 июля 2026 года как срочное обновление безопасности. Версия устраняет утечку данных в обработке производных изображений и два сценария межсайтового скриптинга — в атрибутах HTMX и подписях блоков Layout Builder. Владельцам сайтов на Drupal 11.4.x разработчики рекомендуют перейти на 11.4.4 сразу после стандартной проверки резервной копии и совместимости расширений.

Drupal 11.4.4 содержит только три исправления безопасности
Команда Drupal выпустила Drupal 11.4.4 15 июля 2026 года. В релиз вошли три исправления безопасности, а обычные исправления ошибок в пакет не добавляли. Все три проблемы получили уровень Moderately critical по шкале Drupal Security Team.
Версия 11.4.3 появилась всего за день до обновления безопасности и уже считается уязвимой. Для ветки 11.4.x безопасной целевой версией стала 11.4.4. Владельцам сайтов на 11.3.x выпущена версия 11.3.14, а для Drupal 10.6.x — 10.6.13.
| Бюллетень | Уязвимость | Затронутый компонент | Условия эксплуатации |
| SA-CORE-2026-010 | Раскрытие информации, CVE-2026-15916 | Image | Сайт использует стороннюю файловую схему для закрытых производных изображений |
| SA-CORE-2026-011 | XSS, CVE-2026-15917 | Фильтр HTML и атрибуты HTMX | Атакующий способен вставить HTML с определёнными атрибутами |
| SA-CORE-2026-012 | XSS, CVE-2026-55805 | Layout Builder | Атакующий и целевой пользователь работают в интерфейсе редактирования Layout Builder |
Фильтр Drupal пропускал опасные атрибуты HTMX
Наиболее широко применимая проблема описана в бюллетене SA-CORE-2026-011. Drupal 11.2 и более новые версии используют библиотеку HTMX, которая позволяет запускать запросы и обновлять части страницы через HTML-атрибуты. Фильтр XSS в ядре обрабатывал некоторые такие атрибуты недостаточно строго.
Эксплуатация требует права на добавление HTML с определёнными атрибутами. При подходящей конфигурации злоумышленник может внедрить код, который выполнится в браузере другого пользователя. Drupal Security Team присвоила проблеме оценку 14 из 25: атака требует учётной записи или подходящего уровня доступа, при этом потенциально затрагивает все сайты на уязвимых версиях Drupal 11.
Drupal 10 напрямую этой ошибкой ядра не затронут. В выпуск 10.6.13 включили дополнительное усиление защиты, поскольку отдельные сторонние модули могут использовать похожую обработку HTMX.
Layout Builder недостаточно очищал подписи блоков
Бюллетень SA-CORE-2026-012 касается подписей блоков в Layout Builder. В отдельных сценариях модуль пропускал содержимое, способное привести к выполнению JavaScript в интерфейсе редактирования.
Сценарий ограничен административной частью сайта. Атакующему нужен доступ к работе с макетами, а целевой пользователь должен открыть интерфейс Layout Builder. Оценка риска составила 13 из 25. Для сайтов, где редакторы и контент-менеджеры собирают страницы из блоков, исправление закрывает прямой путь к атаке через служебную подпись элемента.
Сторонние файловые схемы могли раскрывать производные изображений
Проблема SA-CORE-2026-010 связана с модулем Image. Drupal умеет создавать уменьшенные копии, обрезанные версии и другие производные исходных изображений. При выдаче таких файлов через стороннюю файловую схему ядро недостаточно проверяло права доступа.
Уязвимость проявляется в узкой конфигурации: закрытые производные изображения обслуживаются через файловый протокол, добавленный сторонним модулем, вместо стандартной схемы private://. При совпадении этих условий пользователь мог получить файл без ожидаемой проверки доступа. Проблеме присвоена оценка 10 из 25, а исправление разработчики описывают как усиление защиты. Авторам модулей с собственными stream wrapper стоит проверить аналогичные механизмы в своём коде.
Обновление Drupal через Composer переводит сайт на исправленное ядро
Для проекта, который управляет зависимостями через Composer, официальный релиз предлагает обновить пакеты ядра вместе с зависимостями:
composer update "drupal/core-*" --with-all-dependenciesДля фиксации именно версии 11.4.4 Drupal приводит отдельную команду:
composer require drupal/core-recommended:11.4.4 drupal/core-composer-scaffold:11.4.4 drupal/core-project-message:11.4.4 --update-with-all-dependenciesПеред развёртыванием стоит выполнить обновление на тестовой копии, проверить административные формы, Layout Builder, загрузку изображений и модули, которые добавляют собственные файловые протоколы. Такой набор проверок прямо связан с компонентами, затронутыми тремя бюллетенями.
Drupal 11.4.x получает обновления безопасности до июня 2027 года. Ветки Drupal 11.2.x и более ранние, а также Drupal 10.5.x и более ранние уже завершили цикл поддержки. Для них установка свежей поддерживаемой ветки остаётся единственным способом получать дальнейшие исправления ядра.
Drupal 11.4.4 требует приоритетной установки на действующих сайтах
Drupal 11.4.4 закрывает три подтверждённые проблемы, опубликованные одновременно с релизом 15 июля. Два сценария требуют расширенных прав в системе, а утечка изображений зависит от сторонней файловой схемы. Эти ограничения снижают вероятность массовой автоматической атаки, но сайты с редакторами, Layout Builder, расширенным HTML и нестандартным хранением файлов попадают в практическую зону риска.
Релиз содержит только исправления безопасности, поэтому откладывать его ради ожидания новых функций смысла нет. После проверки модулей и резервной копии переход с Drupal 11.4.0–11.4.3 на 11.4.4 закрывает все три опубликованных уязвимости.