翻译：成都长风云Drupal开发团队

一、Drupal10.5.12下载地址

https://ftp.drupal.org/files/projects/drupal-10.5.12.tar.gz

二、安全更新

Drupal core - Critical - PHP object injection - SA-CORE-2026-005
Drupal core - Moderately critical - Gadget chain - SA-CORE-2026-006
Drupal core - Less critical - Cache poisoning and open redirect - SA-CORE-2026-007
Drupal core - Moderately critical - Server-side request forgery - SA-CORE-2026-008
Drupal core - Moderately critical - Improper validation - SA-CORE-2026-009

三、发布说明

本次为 Drupal 10 系列安全版本更新。该版本修复了多项安全漏洞。建议各站点在阅读下文更新说明及安全公告后，立即完成升级操作。

Drupal core - Critical - PHP object injection - SA-CORE-2026-005（修复：https://www.changfengyun.cn/news/614.html）
Drupal core - Moderately critical - Gadget chain - SA-CORE-2026-006（修复：https://www.changfengyun.cn/news/613.html）
Drupal core - Less critical - Cache poisoning and open redirect - SA-CORE-2026-007
Drupal core - Moderately critical - Server-side request forgery - SA-CORE-2026-008
Drupal core - Moderately critical - Improper validation - SA-CORE-2026-009

四、重要信息

本次版本同步升级第三方依赖库，以适配上游组件发布的安全修复包：
将 guzzlehttp/psr7 升级至 2.10.4 版本，修复该组件存在的安全缺陷。
若站点通过自动 URL 检索功能加载媒体 oEmbed 资源（如 YouTube、Vimeo 等第三方平台），需在 settings.php 文件中新增配置项 media_oembed_discovery_trusted_host_patterns，用于配置可信 oEmbed 域名白名单。
该配置项为数组类型，内部填写多条正则表达式，用于匹配允许检索的域名；配置规则与现有可信域名（trusted hosts）配置完全一致。

// Only allow URL discovery from example.com.
$settings['media_oembed_discovery_trusted_host_patterns'] = [
 '^example\.com$',
];

绝大多数站点通常采用 providers.json 文件配置第三方 oEmbed 服务商列表，这类站点无需执行上述配置修改。

五、该选择哪个版本？安全维护支持说明

本次大概率是 Drupal 10.5.x 分支的最后一个版本。Drupal 11.5.x 分支将于下周停止维护。

• 运行 Drupal 10.5.x 的站点请立即升级至 Drupal 10.5.12，并尽快升级至 Drupal 10.6 及更高版本；
• 运行 Drupal 11.3.x 的站点请立即升级至 Drupal 11.3.12；
• 运行 Drupal 11.2.x 的站点请立即升级至 Drupal 11.2.14；
• 运行 Drupal 10.6.x 的站点请立即升级至 Drupal 10.6.11。
• Drupal 11.1.x、11.0.x、10.4.x 及更早版本均已终止生命周期，不再提供任何安全补丁维护。