WordPress 6.9.2 ist jetzt verfügbar!
Dies ist ein Sicherheitsrelease, der mehrere Fehlerbehebungen enthält.
Da es sich um eine Sicherheitsversion handelt, wird empfohlen, deine Websites umgehend zu aktualisieren.
Du kannst WordPress 6.9.2 von WordPress.org herunterladen oder in deinem WordPress-Dashboard auf „Aktualisierungen“ und dann auf „Jetzt aktualisieren“ klicken. Wenn du Websites hast, die automatische Hintergrund-Updates unterstützen, wird der Aktualisierungsvorgang automatisch gestartet.
Die nächste Hauptversion wird Version 7.0 sein, die für den 9. April 2026 geplant ist.
Weitere Informationen zu WordPress 6.9.2 findest du auf der Versionsseite der HelpHub-Website.
In dieser Version enthaltene Sicherheitsupdates
Das Sicherheitsteam bedankt sich bei den folgenden Personen, die Sicherheitslücken verantwortungsbewusst gemeldet haben, sodass diese in dieser Version behoben werden konnten:
- Ein Blind-SSRF-Problem, das von sibwtf und anschließend von mehreren anderen Forschern gemeldet wurde, während an der Behebung gearbeitet wurde.
- Eine PoP-Chain-Schwachstelle in der HTML-API und der Block-Registrierung, gemeldet von Phat RiO.
- Eine Regex-DoS-Schwachstelle in numerischen Zeichenreferenzen, gemeldet von Dennis Snell vom WordPress-Sicherheitsteam.
- Ein gespeichertes XSS in Navigationsmenüs, gemeldet von Phill Savage.
- Eine Umgehung der Autorisierung für AJAX-Abfragen von Anhängen, gemeldet von Vitaly Simonovich.
- Ein gespeichertes XSS über die data-wp-bind-Direktive, gemeldet von kaminuma.
- Ein XSS, der das Überschreiben von clientseitigen Vorlagen im Admin-Bereich ermöglicht, gemeldet von Asaf Mozes.
- Ein PclZip-Path-Traversal-Problem, unabhängig gemeldet von Francesco Carlucci und kaminuma.
- Eine Umgehung der Autorisierung für die Notes-Funktion, gemeldet von kaminuma.
- Ein XXE in der externen getID3-Bibliothek, gemeldet von Youssef Achtatal.
Das WordPress-Sicherheitsteam hat gemeinsam mit James Heinrich, dem Betreuer der externen getID3-Bibliothek, eine Korrektur für getID3 koordiniert. Eine neue Version von getID3 ist hier verfügbar.
Aus Kulanzgründen werden diese Korrekturen bei Bedarf auf alle Zweige zurückportiert, die für Sicherheitskorrekturen in Frage kommen (derzeit bis 4.7). Zur Erinnerung: Nur die aktuellste Version von WordPress wird aktiv unterstützt. Die Backports sind in Arbeit und werden ausgeliefert, sobald sie fertig sind.
Vielen Dank an diese WordPress-Mitwirkenden
Diese Veröffentlichung wurde von John Blackbourn geleitet. Neben den oben genannten Sicherheitsforschern wäre WordPress 6.9.2 ohne die Beiträge der folgenden Personen nicht möglich gewesen: Dennis Snell, Alex Concha, Jon Surrell, Isabel Brison, Peter Wilson, Jonathan Desrosiers, Jb Audras, Luis Herranz, Aaron Jorbin, Weston Ruter und Dominik Schilling.