Найдены и исправлены дырки позволяющие:

1. совершить XSS-атаку через уязвимость в "free tagging" поле;
2. совершить Sesssion fixation attack (получение доступа к чужой сессии по её сиду);
3. совершить Cross-site request forgery атаку;
4. сделать SQL-иньекцию (для Друпал 6).

Скачать последние версии Друпала можно по этой ссылке: http://drupal.org/download.