WordPress 6.9.2 安全版本发布
WordPress 6.9.2 已正式发布,这是一个安全更新版本,修复了多个安全漏洞。官方强烈建议所有用户立即更新到该版本。
更新方式
用户可通过以下途径更新:
- 访问 WordPress 官网下载最新版本
- 登录 WordPress 管理后台,点击“仪表盘”→“更新”,然后点击“立即更新”
- 若站点已开启自动后台更新,更新将自动进行
下一步计划
WordPress 7.0 正式版计划于 2026年4月9日 发布,届时将带来更多新功能和改进。
本次修复的安全漏洞
此次安全更新共修复了 10 个漏洞,WordPress 安全团队向以下安全研究人员表示感谢:
高危漏洞
- Blind SSRF 漏洞 – 由 sibwtf 报告
- HTML API 与块注册表 PoP 链弱点 – 由 Phat RiO 报告
- 正则表达式 DoS 弱点(数值字符引用)- 由 WordPress 安全团队的 Dennis Snell 报告
- 导航菜单存储型 XSS – 由 Phill Savage 报告
- AJAX query-attachments 授权绕过 – 由 Vitaly Simonovich 报告
- data-wp-bind 指令存储型 XSS – 由 kaminuma 报告
- 管理员区域客户端模板覆盖 XSS – 由 Asaf Mozes 报告
其他漏洞
- PclZip 路径遍历问题 – 由 Francesco Carlucci 和 kaminuma 分别独立报告
- Notes 功能授权绕过 – 由 kaminuma 报告
- getID3 外部库 XXE 漏洞 – 由 Youssef Achtatal 报告
第三方库协调
WordPress 安全团队已与 getID3 库维护者 James Heinrich 协调修复工作,该库新版已发布。 作为惯例,这些安全修复将被回溯到所有仍在接收安全更新的历史版本(包括 4.7 分支)。需要注意的是,WordPress 官方仅支持最新版本,旧版本的回溯更新将陆续发布。
致谢
本次发布由 John Blackbourn 主导。此外,以下贡献者也参与了此版本的开发工作:Dennis Snell、Alex Concha、Jon Surrell、Isabel Brison、Peter Wilson、Jonathan Desrosiers、Jb Audras、Luis Herranz、Aaron Jorbin、Weston Ruter、Dominik Schilling。
