Os desenvolvedores do Drupal alertam para uma falha crítica que pode levar a execução remota de código arbitrário no servidor - mas apenas no caso de o blog permitir múltiplos métodos de entrada nos comentários - algo incomum, e que não é o default.

Mesmo que não seja o seu caso, não custa aplicar o patch ou fazer o upgrade para a nova versão.