Acaban de salir varias alertas de seguridad para Drupal, varias son críticas, pero solo te afectan en casos muy concretos:
- https://www.drupal.org/sa-core-2022-015
Solo afecta a D9 y solo si usas iframe en las entidades media. - https://www.drupal.org/sa-core-2022-014
Ejecución de código arbitrario en D9. Solo te afecta si tu servidor usa Apache. ¡Esta es especialmente peligrosa!! - https://www.drupal.org/sa-core-2022-013
Para D9. Control de acceso a campos de entidades. Seguramente solo te afecta si tienes módulos custom/contrib que interactúan con formularios. - https://www.drupal.org/sa-core-2022-012
Afecta tanto a D9 y D7. Pero solo si tienes activo el "allow_insecure_derivatives" en el settings de Drupal.
Y te quiero recordar que Drupal 8 ya no tiene soporte, y que casi todas las alertas de seguridad de Drupal 9 se cumplen en Drupal 8.
Por tanto, deberías actualizar cuanto antes a la última versión de Drupal9. Sobre todo si usas Apache en vez de Nginx.