WordPress 6.9.2 已可供下載安裝
這個安全性維護版本修正多個功能問題。
由於是安全性更新,建議立即更新。
網站管理員可以從 tw.wordpress.org 下載 WordPress 6.9.2,或前往 WordPress 管理後台的 [控制台] 點擊 [更新],然後點擊 [立即更新]。如果是支援自動背景更新的網站,更新程序會自動開始執行。
下一個主要版本是計畫於 2026 年 4 月 9 日發佈 WordPress 7.0。
如需進一步了解 WordPress 6.9.2 相關資訊,請參考 WordPress 6.9.2 線上說明頁面。
這個版本包含的安全性更新
安全性團隊非常感謝以下提出漏洞回報並讓這些漏洞有機會在這個發佈版本中修復的人員:
- 由 sibwtf 回報的 Blind SSRF 問題;在開發修補程式期間,還有其他數名研究人員陸續回報這個問題。
- 由 Phat RiO 報告的 HTML API 及區塊註冊中的 PoP-chain 弱點。
- 由 WordPress 安全性團隊的 Dennis Snell 回報的數值字元參照中的規則運算式阻斷服務 弱點。
- 由 Phill Savage 回報的導覽選單儲存式跨網站指令碼攻擊問題。
- 由 Vitaly Simonovich 回報的略過 AJAX
query-attachments授權問題。 - 由 kaminuma 回報的由
data-wp-bind指令產生的儲存式跨網站指令碼攻擊。 - 由 Asaf Mozes 回報跨網站指令碼攻擊,這個問題會覆寫網站後端管理區域的用戶端範本。
- 由 Francesco Carlucci 及 kaminuma 獨立回報的 PclZip 路徑周遊問題。
- 由 kaminuma 回報的略過 [注意事項] 功能授權問題。
- 由 Youssef Achtatal 回報的 getID3 外部函式庫 XXE 問題。
WordPress 安全性團隊與外部 getID3 函式庫的維護者 James Heinrich 協同合作,一起修正 getID3。新版 getID3 可在這裡取得。
為了提供安全的環境,這些修正也會提供給全部符合接收安全性修正資格的分支版本 (目前最低版本為 4.7)。在此提醒,WordPress 開發團隊僅會主動支援最新版本的 WordPress。目前正在處理向後移植工作,並會在準備就緒時發佈。
感謝 WordPress 參與人員
這個版本的發佈由 John Blackbourn 領軍。
除了前面提及的安全性研究員及發佈團隊之外,WordPress 6.9.2 的發佈如果沒有以下社群成員的貢獻便無法完成。
Dennis Snell、Alex Concha、Jon Surrell、Isabel Brison、Peter Wilson、Jonathan Desrosiers、Jb Audras、Luis Herranz、Aaron Jorbin、Weston Ruter 及 Dominik Schilling。
參與專案的方式
如果想參與 WordPress 核心程式開發,請遵守 Trac 的相關規範,然後選取你有興趣解決的問題,並加入 #core 頻道的討論。如需協助,請參考核心程式參與者手冊。
感謝 Ehtisham Siddiqui、John Blackbourn、Paul Kevan、Jonathan Desrosiers、Aaron Jorbin 及 Weston Ruter 校閱英文原文內容。
內容來源
本篇內容來自官方公告〈WordPress 6.9.2 Release〉。
本地化語言套件更新資訊
經 Alex Lion 檢查,少數需要修正的譯文已完成,全部修正譯文會隨 WordPress 7.0 一起發佈,藉以降低核心程式語言套件的更新頻率。
發佈留言
很抱歉,必須登入網站才能發佈留言。