以下は WordPress.org 公式ブログの記事「WordPress 6.9.2 Release」の翻訳です。
誤字脱字誤訳などありましたらフォーラムまでお知らせください。
WordPress 6.9.2 が利用可能です !
今回のリリースは、複数の修正を含むセキュリティリリースです。
セキュリティ保護のため、サイトを直ちにアップデートすることをお勧めします。
WordPress 6.9.2 は、WordPress.org からダウンロードするか、ダッシュボードの「更新」画面で「今すぐ更新」をクリックして適用してください。自動バックグラウンド更新を有効にしている場合は、自動的に更新プロセスが開始されます。
次回のメジャーリリースはバージョン 7.0を予定しており、2026年4月9日に公開される予定です。
WordPress 6.9.2の詳細については、HelpHub サイトのバージョンページをご覧ください。
このリリースに含まれるセキュリティ修正
セキュリティチームは、以下の脆弱性を責任を持って報告し、修正に協力してくれた方々に感謝いたします。
- ブラインド SSRF の問題: sibwtf、および修正作業中に報告を寄せた複数の研究者による報告
- HTML API およびブロックレジストリにおける PoP チェーンの弱点: Phat RiO による報告
- 数値文字参照における正規表現 DoS (ReDoS) の弱点: WordPress セキュリティチームの Dennis Snell による報告
- ナビゲーションメニューにおける蓄積型 XSS: Phill Savage による報告
- AJAX
query-attachmentsにおける認証回避の脆弱性: Vitaly Simonovich による報告 data-wp-bindディレクティブを介した蓄積型 XSS: kaminuma による報告- 管理画面でのクライアントサイドテンプレートのオーバーライドを許す XSS: Asaf Mozes による報告
- PclZip におけるパストラバーサルの問題: Francesco Carlucci および kaminuma による個別の報告。
- ノート (Notes) 機能における権限昇格 (バイパス): kaminuma による報告
- 外部 getID3 ライブラリにおける XXE: Youssef Achtatal による報告
WordPress セキュリティチームは、getID3 のメンテナである James Heinrich と協力し、getID3 の修正を調整しました。新しいバージョンの getID3 はこちらから入手可能です。
これらの修正は、セキュリティ修正の対象となるすべてのブランチ (現在は4.7以降) に必要に応じてバックポートされます。なお、現在アクティブにサポートされているのは最新バージョンのみです。バックポートは現在進行中であり、準備が整い次第配信されます。
貢献者の皆さまへの感謝
今回のリリースは John Blackbourn がリードしました。前述のセキュリティ研究者に加え、以下の皆さまの協力がなければ WordPress 6.9.2 のリリースは実現しませんでした。
Dennis Snell, Alex Concha, Jon Surrell, Isabel Brison, Peter Wilson, Jonathan Desrosiers, Jb Audras, Luis Herranz, Aaron Jorbin, Weston Ruter, and Dominik Schilling.
協力者: @atachibana, @torikumo
