Tim Pengembang Sistem Manajemen Konten (CMS) Drupal resmi menerbitkan pengumuman darurat terkait peluncuran pembaruan keamanan inti (core security release). Drupal memberikan peringatan keras kepada seluruh pengelola situs bahwa celah keamanan misterius ini memiliki risiko eksploitasi yang sangat tinggi, di mana para aktor ancaman siber diprediksi mampu mengembangkan kode eksploitasi operasional hanya dalam hitungan jam setelah detail pembaruan diungkap ke publik.
Mengingat Drupal merupakan salah satu platform CMS paling populer yang diandalkan oleh organisasi skala besar, infrastruktur pemerintahan, sektor pendidikan, hingga lembaga layanan kesehatan global, dampak paparan dari celah ini terhitung sangat masif. Para administrator situs di seluruh dunia diminta untuk segera meluangkan waktu khusus guna menerapkan patch darurat ini.
Daftar Versi Terdampak dan Ketersediaan Patch Keamanan
Berdasarkan pengumuman resmi, kerentanan kritis ini bersarang di dalam kode inti (core) Drupal Versi 8 ke atas. Kendati demikian, tim keamanan mengklarifikasi bahwa tidak semua varian konfigurasi situs akan otomatis terpapar.
Guna memitigasi risiko secara masif, Drupal mengambil langkah langka dengan menyediakan pembaruan keamanan, termasuk bagi beberapa lini versi yang sebenarnya sudah habis masa dukungannya:
- Lini Kompatibel Penuh: Pembaruan resmi disediakan untuk seri Drupal 11.3.x, Drupal 11.2.x, serta Drupal 10.6.x dan Drupal 10.5.x.
- Lini End-of-Life yang Tetap Mendapat Perbaikan: Meskipun seri Drupal 11.1.x dan Drupal 10.4.x sudah tidak didukung secara resmi, karena tingkat keparahan bug yang sangat ekstrem, tim pengembang tetap merilis patch khusus. Administrator diminta segera menaikkan versi sistem ke Drupal 11.1.9 dan Drupal 10.4.9.
- Mitigasi untuk Drupal 8 dan 9: Kedua versi lawas ini dipastikan tidak akan menerima patch sistem utuh. Namun, tim Drupal berbaik hati menerbitkan berkas perbaikan darurat (hotfix files) khusus untuk versi 9.5 dan 8.9, sehingga situs yang berjalan di versi 9.5.11 atau 8.9.20 tetap bisa melakukan remediasi manual.
🛡️ Rekomendasi Migrasi Utama: Bagi para administrator situs yang hingga saat ini masih nekat menjalankan web di atas pondasi purba Drupal 8 atau 9, sangat direkomendasikan untuk segera melakukan perombakan arsitektur dan melakukan upgrade penuh minimal ke Drupal versi 10.6.
Proteksi Tambahan via Drupal Steward & Waspada Hoaks Teknis
Bagi organisasi yang mengimplementasikan sistem proteksi terdistribusi Drupal Steward (layanan Web Application Firewall tak ber-agen besutan asosiasi Drupal), jaringan web mereka dilaporkan telah otomatis terlindungi dari berbagai vektor serangan yang sejauh ini diketahui. Namun, tim pengembang menegaskan bahwa penerapan pembaruan kode core lokal tetap wajib dieksekusi demi keamanan absolut jangka panjang.
Hingga saat ini, pihak Drupal sengaja menutup rapat-rapat rincian teknis maupun kode identifikasi vulnerability ini guna mencegah peretas mendapatkan cetak biru serangan lebih awal.
⚠️ Himbauan Keamanan: “Tidak ada satu pun pihak, termasuk Tim Keamanan kami, yang diizinkan untuk membagikan informasi lebih mendalam mengenai kerentanan ini sebelum pengumuman resmi dirilis,” tegas pihak Drupal.
Para administrator juga diperingatkan untuk mengabaikan tutorial atau detail teknis mengenai bug ini yang beredar liar di luar kanal resmi Drupal sepanjang hari ini. Berkas atau instruksi tersebut terindikasi kuat sebagai palsu (fraudulent) dan sengaja dirancang oleh penyerang untuk menjebak tim IT agar melakukan konfigurasi server yang berisiko tinggi.
Langkah Tindakan untuk Tim DevOps
Seluruh pengelola server dan tim DevOps diminta untuk terus memantau portal keamanan resmi Drupal secara berkala dan menyiapkan alur kerja pemeliharaan (maintenance window) darurat guna mengaplikasikan pembaruan instan begitu paket core terbaru didistribusikan.