WordPress 6.9.2 正式发布

WordPress 6.9.2 安全更新发布

WordPress 6.9.2 已正式发布，这是一个包含多项安全修复的版本。建议所有站点立即更新。

更新方式

• 手动下载：访问 WordPress 官网下载页面获取安装包
• 后台更新：登录 WordPress 管理后台，点击“更新”→“立即更新”
• 自动更新：已启用后台自动更新的站点将自动开始更新流程

本次修复的安全漏洞

WordPress 安全团队感谢以下研究人员负责任地披露漏洞：

• Blind SSRF 漏洞：由 sibwtf 报告，修复过程中其他研究人员也发现了该问题
• HTML API 与区块注册表 POP 链弱点：由 Phat RiO 报告
• 数字字符引用正则表达式 DoS 漏洞：由 WordPress 安全团队的 Dennis Snell 发现
• 导航菜单存储型 XSS：由 Phill Savage 报告
• AJAX query-attachments 授权绕过：由 Vitaly Simonovich 报告
• data-wp-bind 指令存储型 XSS：由 kaminuma 报告
• 管理员区域客户端模板覆盖 XSS：由 Asaf Mozes 报告
• PclZip 路径遍历漏洞：由 Francesco Carlucci 和 kaminuma 独立发现
• Notes 功能授权绕过：由 kaminuma 报告
• 外部 getID3 库 XXE 漏洞：由 Youssef Achtatal 报告

外部库 getID3 的维护者 James Heinrich 已协同修复该问题，getID3 新版本已发布。 作为一项惯例，这些安全修复将被回溯到所有符合安全更新条件的版本分支（目前涵盖至 4.7 版本）。请注意，WordPress 仅维护最新版本，其他分支的回移植工作将陆续完成。

后续版本计划

下一个主要版本将是 WordPress 7.0，计划于 2026 年 4 月 9 日发布。

延伸阅读

• WordPress 6.9.2 版本说明
• getID3 发布页面