Tal y como informa el equipo de seguridad de Drupal, se ha detectado una brecha de seguridad en el módulo contribuido Configuration Update Manager que permite realizar un ataque del tipo Cross Site Request Forgery (CSRF).
Dentro del módulo Configuration Update Manager se encuentra un sub-módulo denominado Configuration Update Reports que permite realizar un informe con las diferencias encontradas entre la actualización a realizar por un archivo de configuración y la configuración actual del sitio. Es en este sub-módulo donde se ha localizado una brecha que permite realizar un ataque del tipo Cross Site Request Forgery (CSRF) cuando se importan elementos de configuración creados por este módulo.
Se recomienda la actualización a la versión 8.x-1.5, o bien restringir el permiso "Importar configuración" para todos los roles, o desinstalar el ya mencionado sub-módulo. Más información en drupal.org