Drupal 發布安全更新，以解決 Drupal 8.4.55 之前版本、Drupal 7.57 之前版本的弱點，該弱點可能允許遠端攻擊者利用該弱點獲取存取權限。

1.遠端攻擊者可以利用該弱點查看或新增他們無權存取的內容和評論。

2.Drupal JavaScript 函數 Drupal.checkPlain() 無法正確處理惡意 HTML 的注入，導致跨網站指令碼攻擊 (cross-site scripting)。

3.當使用 Drupal 的專屬文件系統時，Drupal 會在使用者查看或下載文件之前檢查使用者是否有權存取文件。然而當一個模組嘗試取得檔案存取權限，而有另一模組卻預阻擋存取時，此機制會失效並導致繞過 (bypass) 狀況的發生，遠端攻擊者可以利用該弱點，使 Drupal 檢查存取權限功能失效，進而獲取存取權限。

4.向不受信任的網域發出 Ajax 請求時，存在 jQuery 跨網站指令碼攻擊 (cross-site scripting) 弱點。

5.在多語言網站中使用節點存取控制時，Drupal 將無翻譯版本的節點標記為詢問存取的預設退回 (default fallback)。這個退回 (fallback) 用於已創建的節點尚無提供翻譯版本語言時，而這可能存在存取繞過 (access bypass) 弱點。

6.Settings Tray (英文後接中文要空格) 模組存在弱點，允許攻擊者在無權限的狀況下更新某些資料。

7.使用語言切換器模組時，Drupal core 具有外部鏈接注入 (external link injection) 弱點，此弱點可能允許攻擊者誘騙用戶導向到外部網站。