На [http://www.securityfocus.com/archive/1/420671/30/0/threaded] была опубликована статья об уязвимости XSS в Drupal, без предварительного контакта с командой безопасности. Данная уязвимость уже закрыта в движке, уведомление о ней запоздало. Если вы апгрейднулись на одну из последних стабильных версий 4.5.4/4.6.4 - вы в безопасности.