Ayer liberaron nuevas versiones de Drupal que solventan un par de vulnerabilidades catalogadas como criticas. No se si se están explotando de forma activa, es de suponer que si.
El advisory se puede ver en el siguiente enlace: https://www.drupal.org/SA-CORE-2015-002
Todas las versiones inferiores a 6.36 y a 7.38 son vulnerables … así que toca actualizar.