WordPress Updates v6.9.2 bis v6.9.4

3 WordPress Updates (6.9.2, 6.9.3, 6.9.4) in 24 Stunden

| WordPress | 2 minutes of reading

Innerhalb von nicht einmal 24 Stunden (10. – 11. März 2026) hat das Core-Team drei Updates (6.9.2, 6.9.3, 6.9.4) für WordPress veröffentlicht.

Ziel war initial die Schließung kritischer Sicherheitslücken, was jedoch zu schweren Kompatibilitätsproblemen führte. Der aktuell stabile Stand für Live-Umgebungen ist WordPress 6.9.4.

1. WordPress 6.9.2 (Security Release)

Veröffentlicht: 10. März 2026 Status: Wurde aufgrund von kritischen Fehlern kurz nach Veröffentlichung durch das Core-Team effektiv zurückgezogen.

Änderungen & Probleme:

  • Security-Patches: Initiale Schließung von 10 identifizierten Schwachstellen. Dazu gehörten unter anderem ein Blind SSRF, eine PoP-chain-Schwachstelle in der HTML API und der Block Registry, Stored XSS in Navigationsmenüs sowie ein AJAX query-attachments Authorization Bypass.
  • Der „White Screen“-Bug: Ein neu eingeführter Sicherheitscheck in der Datei wp-includes/template-loader.php führte dazu, dass bestimmte Theme-Frameworks abstürzten. Der Fehler trat auf, wenn Themes ihre Template-Dateien über „stringable objects“ (anstelle von simplen Strings) an den template_include-Filter übergaben. Das Resultat war ein leeres Frontend (White Screen of Death).

Offizielle Quelle: WordPress 6.9.2 Release Notes

2. WordPress 6.9.3 (Hotfix Release)

Veröffentlicht: 10. März 2026 (wenige Stunden nach 6.9.2) Status: Inzwischen obsolet durch den Nachfolger 6.9.4.

Änderungen:

  • Bugfix für Template-Loading: Dieses Release war ein Notfall-Patch und diente ausschließlich dazu, die Frontend-Abstürze aus Version 6.9.2 zu beheben.
  • Technischer Fix: Der Support für stringable objects wurde im Template Loader sowie in der Block Patterns Registry wiederhergestellt. Alle 10 Sicherheits-Patches aus 6.9.2 blieben in dieser Version unangetastet. Wer auf diese Version updatete, bekam sein Frontend sofort zurück, während das Backend (wp-admin) ohnehin durchgängig erreichbar geblieben war.

Offizielle Quelle: WordPress Releases Übersicht

3. WordPress 6.9.4 (Security Correction Release)

Veröffentlicht: 11. März 2026 Status: Aktuell empfohlene Version für alle Produktivsysteme.

Änderungen:

  • Nachbesserung der Sicherheitspatches: Das WordPress Security-Team musste feststellen, dass einige der Patches aus 6.9.2 (und damit auch in 6.9.3) nicht vollständig oder korrekt implementiert worden waren.
  • Spezifische Fixes in 6.9.4: Das Update adressiert gezielt die Lücken, die zuvor nicht sauber geschlossen wurden:
    • Behebung eines PclZip Path Traversal-Problems (Dateisystem-Zugriff).
    • Schließung eines Authorization-Bypass in der neu eingeführten „Notes“-Funktion (Kollaborations-Feature).
    • Behebung einer XXE-Schwachstelle in der externen getID3-Bibliothek (hierfür wurde die Datei wp-includes/ID3/getid3.lib.php ausgetauscht).

Offizielle Quellen: * WordPress 6.9.4 Release Notes

Weitere Beiträge lesen

Kontakt
Kontakt