Серьезные уязвимости были только в ранних версиях. Давно уже все пофиксили. ДЛЕ давно уже без критичных дырок. В различных плагинах можно поискать разные sql-inj например. В принципе тут ситуация такая же как и с Wordpress.