Ja, das ist eine sehr gute Frage. Einfach Antwort: das kann man nicht mit Gewissheit sagen. Der Grund ist ziemlich oft ziemlich schändlich: Die Lizenzbedingungen verbieten nämlich typischerweise, über Sicherheitslücken öffentlich zu sprechen, nicht einmal über Sicherheitslücken, die auch Jahre nach der verantwortungsvollen Meldung nicht geschlossen wurden.
Andererseits – keine Software war jemals kugelsicher. Früher oder später bekommt ihr ein Update für jede Software, die bei euch im Einsatz ist. Ein Grund zur Sorge wäre schon eher, wenn das nicht der Fall war (wurde die Software abgekündigt?) Und wenn ihr für eine Software zwar regelmäßig Updates bekommt, aber nie eine Information über geschlossene Sicherheitslücken, könnt ihr fast sicher sein, dass der Hersteller auf Verschleierung setzt.
Lest mehr über alle Aspekte der CMS-Sicherheit in unserem Artikel "Nur sicher ist sicher".