一、这是Drupal 9的一个补丁（bug修复）版本，可以在您的Drupal 9生产站点上使用。

二、正在为Drupal 10所见即所得编辑开发CKEditor 5模块，该模块依赖于第三方CKEditor5 JavaScript库。CKEditor已发布了CKEditor 5的安全建议：

CVE-2022-31175：编辑器实例销毁过程导致的跨站点脚本（XSS）

只有当您的网站在Full HTML格式与QuickEdit中的CKEditor一起使用时，Drupal core才易受攻击，并且该漏洞仅影响插入JavaScript有效负载的用户。由于full HTML已经允许编写可以包含跨站点脚本（XSS）有效负载的JavaScript，我们将此更新视为公共安全强化。

Drupal 9中的CKEditor 4不受影响，因此仅启用稳定的CKEditor模块（卸载了CKEditor 5实验模块）的站点不会受到影响，也不迫切需要更新到此版本。

Drupal 9.4.x 在2023年6月之前获得安全保障。

如果您是从Drupal8升级到Drupal9，请在升级到本版本之前阅读将Drupal8网站升级到Drupal9案例、9.0.0发行说明和9.4.0发行说明书。

三、重要更新信息

1、Drupal 9.4.4从core的composer中删除了“替换”部分。核心模块的json。但是，同时意外删除了核心组件的“替换”信息，导致编写器警告。核心组件的“替换”信息已恢复，这将解决这些警告。

2、Drupal 9站点中的CKEditor 5已从34.1.0更新为35.0.1，以进行安全更新。此更新还引入了与CKEditor 35.0.0的向后兼容性中断。因此，CKEditor 5集成的维护人员应查看CKEditor 3.0.1发行说明。

3、symfony/http foundation已更新至6.1.3，以解决可破坏服务的错误。