Kurze Information: Zum 10. März 2026 wurde WordPress 6.9.2 veröffentlicht. Es handelt sich um ein Wartungsupdate, welches Bugs fixen soll, wohl aber nur eine kurze Lebensdauer aufweisen dürfte. Denn die Veröffentlichung von WordPress 7.0 ist bereits für den 9. April 2026 auf der WordCamp Asia geplant. Ergänzung: Bug-Fix auf WordPress 6.9.3.
WordPress 6.9.2 ist da
Bei Websites, die automatische Hintergrundaktualisierungen unterstützen, wird der Aktualisierungsvorgang automatisch gestartet (war bei einigen meiner Nischenblogs der Fall). Den IT-Blog hier sowie den englischsprachigen IT-Blog habe ich manuell auf WordPress 6.9.2 umgestellt. Bisher scheint es keine Probleme zu geben. Laut den Release Notes enthält WordPress 6.9.2 mehrere Sicherheitskorrekturen.
- A Blind SSRF issue reported by sibwtf, and subsequently by several other researchers while the fix was being worked on
- A PoP-chain weakness in the HTML API and Block Registry reported by Phat RiO
- A regex DoS weakness in numeric character references reported by Dennis Snell of the WordPress Security Team
- A stored XSS in nav menus reported by Phill Savage
- An AJAX
query-attachmentsauthorization bypass reported by Vitaly Simonovich - A stored XSS via the
data-wp-binddirective reported by kaminuma - An XSS that allows overridding client-side templates in the admin area reported by Asaf Mozes
- A PclZip path traversal issue reported independently by Francesco Carlucci and kaminuma
- An authorization bypass on the Notes feature reported by kaminuma
- An XXE in the external getID3 library reported by Youssef Achtatal
Da es sich um eine Sicherheitsversion handelt, wird empfohlen, die WordPress-Instanz umgehend zu aktualisieren.
WordPress 6.9.3 nachgeschoben
Nachtrag: Die Halbwertzeit der 6.9.2 betrug nicht mal 24 Stunden – als ich eben den Blog aufrief, wurde mir WordPress 6.9.3 angeboten. Gefixt wird ein Bug, der bei einigen Templates zu Problemen führt. Erklärung in den Release Notes:
This release features a bugfix for some themes that use an unusual "stringable object" mechanism when loading template file paths that broke in the 6.9.2 security release. Although this is is not an officially supported approach to loading template files in WordPress (the
template_includefilter only accepts a string), it nevertheless caused some sites to break so the team have decided to address this in a fast follow 6.9.3 release. Users using affected themes should update to 6.9.3 to restore the front end of their site to an operational state.
MVP: 2013 – 2016
Moin Günter,
die 6.9.2 hat wohl teilweise Probleme verursacht – sie war gestern Abend weder auf der offiziellen WordPress-Homepage noch direkt über "Updates suchen" innerhalb von WordPress zu finden. Stattdessen steht heute früh die Version 6.9.3 zum Download bereit.
Changelog: https://wordpress.org/documentation/wordpress-version/version-6-9-3/
Viele Grüße,
Martin
Das war z.B. bei 6.9 zu 6.9.1 ähnlich, die Release Qualität hat seit längerer Zeit massiv nachgelassen, leider. Klare Empfehlung: Dss standardmässig aktive Autoupdate bei wichtigen Seiten ausschalten!
Ich sage es mal so: Ich werde langsam alt – so gegen 23:39 Uhr habe ich zum 10.3.2026 meine Blogs auf die 6.9.2 aktualisieren lasse (erst die Nischenblogs, weil ich auf den Blog hier keinen Zugriff mehr habe, wenn WP nicht mehr läuft, dann den englischen und den deutschen Blog). Dann musste ich ein paar Stunden schlafen. Und als ich dann nachgeschaut habe, sprang mich die 6.9.3 an … ist aber oben nachgetragen. Danke für den Hinweis, den ich erst nach der Aktualisierung gesehen habe.
Jetzt haben wir 6.9.3 ;-)
Ups, sollte 6.9.4 heißen
Und nun die 6.9.4 …
Und 6.9.4 nachgeschoben, ein einziges Update Chaos, wieder mal.
https://wordpress.org/documentation/wordpress-version/version-6-9-4/