O WordPress 6.9.2 – Atualização de segurança

13/mar/2026 | Radar

O WordPress 6.9.2 já está disponível! Esta é de uma versão de segurança que apresenta várias correções. Como este é um lançamento de segurança, é recomendável que você atualize seus sites imediatamente.

Você pode baixar o WordPress 6.9.2 do WordPress.org ou visitar seu Painel do WordPress, clicar em “Atualizações” e, em seguida, clicar em “Atualizar agora”. Se você tiver sites que suportam atualizações automáticas em segundo plano, o processo de atualização começará automaticamente.

O próximo grande lançamento será a versão 7.0, que está prevista para 9 de abril de 2026.

Para mais informações sobre o WordPress 6.9.2, visite a página de versão no site do HelpHub (em inglês).

Atualizações de segurança incluídas nesta versão

A equipe de segurança gostaria de agradecer às seguintes pessoas por relatar com responsabilidade as vulnerabilidades e permitir que elas sejam corrigidas nesta versão:

  • Um problema de SSRF relatado por sibwtf e, posteriormente, por vários outros pesquisadores enquanto a correção estava sendo trabalhada.
  • Uma vulnerabilidade da cadeia PoP da API HTML e no Registro de Blocos relatado por Phat RiO.
  • Uma vulnerabilidade de DoS Regex em referências de caracteres numéricos relatadas por Dennis Snell da Equipe de Segurança do WordPress
  • Um problema de XSS em menus de navegação relatados por Phill Savage
  • Um problema de autorização com Ajax query-attachments reportado por Vitaly Simonovich.
  • Um problema de XSS através do data-wp-bind reportado por kaminuma
  • Um problema de XSS que permite substituir os modelos do lado do cliente na área de administração, relatada pelo Asaf Mozes
  • Um problema de travessia de diretórios do PclZip relatado de forma independente por Francesco Carlucci e kaminuma
  • Um desvio de autorização no recurso de notas relatado por kaminuma
  • Um problema na biblioteca XXE externa getID3 relatada por Youssef Achtatal

A equipe de segurança do WordPress trabalhou com o mantenedor da biblioteca externa getID3, James Heinrich, para coordenar uma correção para o getID3. Uma nova versão do getID3 está disponível aqui.

Como cortesia, essas correções estão sendo suportadas, quando necessário, para todas as versões anteriores elegíveis para receber correções de segurança (atualmente até a versão 4.7). Como lembrete, apenas a versão mais recente do WordPress é ativamente suportada. Os backports estão em andamento e serão enviados à medida que se tornam prontos.

Agradecimento aos colaboradores

Este lançamento foi liderado por John Blackbourn. Além dos pesquisadores de segurança mencionados acima, o WordPress 6.9.2 não teria sido possível sem as contribuições das seguintes pessoas: Dennis Snell, Alex Concha, Jon Surrell, Isabel Brison, Peter Wilson, Jonathan Desrosiers, Jb Audras, Luis Herranz, Aaron Jorbin, Weston Ruter e Dominik Schilling.

Fonte: Wordpress Brasil

Anterior

Posts Relacionados

WordPress 6.9.3 e 7.0 Beta 4

mar 10, 2026

O piloto do painel do colaborador está no ar: o que vem a seguir?

mar 6, 2026

WordPress 7.0 Beta 3

mar 5, 2026