Gegenfrage: Fragt ihr euch das, weil ihr von einer Sicherheitslücke gehört habt, beispielsweise in Plone, TYPO3 oder Drupal?
Seht ihr, das ist das Gute bei Open-Source: man kann den Quellcode analysieren und so Sicherheitslücken überhaupt finden. Kein Grund zur Besorgnis. Nachrichten über Sicherheitslücken werden praktisch immer erst dann veröffentlicht, wenn es eine neue Softwareversion gibt, mit der die Lücke geschlossen wird.
Dehalb ist es so wichtig, dass ihr eure Software aktuell haltet. Wenn ihr eine 10 Jahre alte ungewartete Version von beispielsweise Plone, TYPO3 oder Drupal betreibt, könnt ihr darauf wetten, dass diese Sicherheitslücken enthält. Dasselbe gilt übrigens auch für ungewartete proprietäre Software. Es gilt für jegliche Software.
Das Bundesamt für Sicherheit in der Informationstechnik bescheinigt Open-Source-CMS übrigens regelmäßig einen hohen Grad an Sicherheit. Mehr dazu in unserem Artikel BSI-Studie zeigt: Open-Source-Content-Management-Systeme sind sicher.