WordPress heeft een week voordat versie 3.9 uitkomt een kritiek lek in zijn contentmanagementsysteem gedicht, waarmee kwaadwillenden zich toegang via nagemaakte authenticatie-cookies konden verschaffen. Ook zijn drie kleinere lekken gedicht.

Het lek zit niet alleen in versie 3.8, die door de patch naar versie 3.8.2 wordt gebracht, maar ook in versie 3.7 en de vroege versie van 3.9. Ook voor die versies heeft WordPress updates uitgebracht. De patch die het lek moet dichten heeft de aanduiding CVE-2014-0166 gekregen. De kwetsbaarheid werd door WordPress zelf ontdekt.

Naast dit kritieke lek zijn er drie minder urgente patches uitgebracht en negen bugs geplet. Zo helpt een patch hosts om mogelijk kwaadaardige requests bij het verwerken van pingbacks te verwerken, is een mogelijkheid om sql-injecties uit te voeren verholpen en is de mogelijkheid om cross-domain scripting via de Plupload-bibliotheek uit te voeren ongedaan gemaakt. WordPress is automatische bijgewerkt voor diegenen die dit zo ingesteld heeft; overigen zullen het cms zelf moeten bijwerken.