Drupal コアに複数のセキュリティホールが発見されたようです。
このセキュリティホールへの対策およびいくつかのバグフィックスが行なわれた Drupal 5.6 および 4.7.11 がリリースされ、それらのバージョンへのアップグレードが強く推薦されています。

※ なお、Drupal 5.6 および 4.7.11 では PHP 4.3.5 以上の環境が必要になりますので、ご注意ください。（以前のバージョンまでのシステム要件は PHP 4.3.3 以上でした。）

危険度 ： 低（Less）
脆弱性 ： クロスサイトリクエストフォージェリ（CSRF）
影響を受けるバージョン ： 4.7.x, 5.x
回避策 ： 4.7.9 または 5.4 へのバージョンアップ
aggregator モジュールによって受け取った内容に悪意のあるコードが含まれていた場合、意図しない操作が行われてしまうことがある。

危険度 ： 中（Moderately）
脆弱性 ： クロスサイトスクリプティング（XSS） - UTF8
影響を受けるバージョン ： 4.7.x, 5.x
回避策 ： 4.7.9 または 5.4 へのバージョンアップ
UTF-8 の仕様で無効とされる文字列が IE6 で適切に扱われないことを利用して、悪意のある Javascript コードを送信されてしまうことがある。

危険度 ： 低（Less）
脆弱性 ： クロスサイトスクリプティング（XSS） - register_globals
影響を受けるバージョン ： 4.7.x, 5.x
回避策 ： 4.7.9 または 5.4 へのバージョンアップ
register_globals が有効にされている場合かつ .tpl.php ファイルがウェブアクセス可能な場合、匿名ユーザに悪意のあるコードを実行さてしまうことがある。

register_globals については、Drupal の .htaccess ファイルにも無効にするための設定が記述されているので、通常は大丈夫…と思いますが、サーバの環境によっては .htaccess が使用できなかったり、register_globals の設定を変更できなかったりしますので、念の為、確認することをお勧めします。
Drupal 5.6 および 4.7.11 のバージョンからは、register_globals が有効になっている場合、管理ページに警告が表示されるようになっているそうです。

[参考]
Drupal 4.7.11 and 5.6 fixing security issues released | drupal.org
SA-2008-005 - Drupal core - Cross site request forgery | drupal.org
SA-2008-006 - Drupal core - Cross site scripting (UTF8) | drupal.org
SA-2008-007 - Drupal core - Cross site scripting (register_globals) | drupal.org