Une belle série de joyeusetés a été colmatée dans cette version. Cela commence par du classique

Cross Site Scripting
à l'évidence via le module upload (avec une série d'autres vulnérabilités dans le module). Ensuite au menu nous avons de l'exécution de code via le module BlogAPI. Et pour le dessert un plus exotique

cross site request forgeries
par l'API Forms. Et cela toute version confondues (5.X et 6.X).

Donc autant dire qu'il est pertinent de colmater cela au plus vite en mettant à jour.

Description du patch (en anglais) : http://drupal.org/node/295053.