Вчера состоялись релизы безопасности Drupal 9.3.22 и 9.4.7. Для Twig вышло обновление безопасности для уявзимости, которая может быть использована в Drupal. Код для ядра был обновлён чтобы невелировать проблему. Если не обновиться, то пользователи, у которых есть доступ к Twig, могут использовать данную уязвимость для доступа к содержимому файлов на сервере. Например к приватным файлам или settings.php. По умолчанию пишут что это доступно только администраторам сайта с ограниченными правами доступа и в целом не опасно. Думаю, имеется ввиду Views UI, в котором можно использовать Twig в некоторых настройках. Также это и касается различных сторонних модулей, которые позволяют работать с Twig из админки. Вроде такая возможность имеется в Webform. В общем и целом, если к админке имеют доступ люди, которым вы не доверяете, (странно что они тогда имеют такой доступ 😂) то лучше обновиться пораньше. А так, вроде не страшно.