В WordPress срочно закрыли 10 уязвимостей одним обновлением

У администраторов сайтов на WordPress появился хороший повод проапдейтить свои ресурсы 10 марта 2026 года разработчики выпустили версию WordPress 6.9.2, этот релиз целиком посвящён безопасности. Всем пользователям движка прямо рекомендуют установить его как можно быстрее.

По информации WordPress, релиз 6.9.2 закрывает 10 уязвимостей. Среди них — проблема выхода за пределы рабочего каталога (path traversal) в PclZip, XXE во внешней библиотеке getID3, несколько обходов аутентификации, сразу несколько вариантов XSS, а также Regex DoS, blind SSRF и слабое место в цепочке PoP в HTML API и Block Registry.

То есть набор получился довольно пёстрый: от неприятных багов в обработке файлов до рисков на стороне сервера и админки.

Особенно неприятен тот факт, что часть исправлений касается довольно чувствительных мест: например, закрыты обходы аунетификации в функциях AJAX query-attachments и Notes, а среди XSS-уязвимостей упоминаются проблемы в навигационных меню, data-wp-bind и сценарии, позволяющем подменять клиентские шаблоны в административной части.

Команда WordPress при этом сохранила привычную позицию: официально поддерживается только самая свежая версия движка в актуальной ветке. Но для этого релиза команда пошла навстречу более широкой аудитории и разнесла критические патчи по другим поддерживаемым веткам. Бэкпорт сделали для всех подходящих веток вплоть до 4.7.

Есть, правда, и маленькая ложка дёгтя. Уже в день выхода 6.9.2 WordPress сообщил, что у части пользователей после обновления фронтенд сайта мог отображаться пустым. Проблему связали с некоторыми темами, которые используют нестандартный способ загрузки шаблонов через так называемые строковые объекты.