Уязвимости:
Вставка приватных файлов через ckeditor
Убрать любой блок на сайте, при условии знания его id
Удалённое исполнение кода, из-за уязвимости в сторонней dev-библиотеке. Отныне dev-библиотеки не будут поставляться в стандартном дистрибутиве.

Если глянуть https://wordpress.org/news/ - там тоже в основном исправления уязвимостей.
Если глянуть https://www.joomla.org/announcements.html - там тоже исправления уязвимостей (порадовало Low Priority - Core - Shell Upload (affecting Joomla! 3.0.0 through 3.6.4))