Das zweite Security-Update im Oktober schließt wieder mehrere Lücken.

File inclusion in 5 und 6 und Cross site scripting in Drupal 6

Zum Security Advisory SA-2008-067 auf drupal.org