WordPress випустив три оновлення безпеки за два дні, поклавши частину сайтів
Дата публікації
13.03.2026
WordPress опублікував безпекове оновлення 6.9.2, яке мало закрити десять вразливостей. Натомість воно спричинило збої на частині сайтів — замість сторінок користувачі побачили білий екран. Протягом доби команда WordPress випустила ще два оновлення: 6.9.3 для виправлення помилки та 6.9.4, оскільки не всі вразливості версії 6.9.2 були належно усунені.
Що сталося з версією 6.9.2
Безпекове оновлення 6.9.2 вийшло з патчами для десяти вразливостей. Невдовзі після автоматичного оновлення частина власників сайтів виявила, що їхні сторінки перестали відображатися — під час переходу на будь-яку з них браузер показував білий екран, хоча адмінпанель працювала.
На Reddit і в офіційних форумах WordPress почали з’являтися повідомлення про збої. описав ситуацію так: після автоматичного оновлення до 6.9.2 жодна сторінка не відображалася, хоча контент у редакторі залишався на місці.
Причина збоїв — теми з нестандартним кодом
Розробники WordPress встановили, що проблема пов’язана не з самим патчем, а з тим, як окремі теми завантажують файли шаблонів. Деякі з них використовували непідтримуваний спосіб передачі шляхів до шаблонів (через так звані «stringable objects» замість рядків), що призвело до конфлікту з оновленням безпеки.
Хоча помилка була на боці тем, з виправленням цієї проблеми. А наступного дня з’явилася ще й версія 6.9.4 — команда безпеки виявила, що частина виправлень у 6.9.2 була застосована не повністю. В офіційному повідомленні WordPress рекомендує негайно оновитися.
Які вразливості було закрито
чотирьох із десяти вразливостей. Усі вони мають середній рівень критичності (від 4.3 до 6.5 балів за шкалою CVSS) і потребують автентифікації для експлуатації — зловмиснику спершу потрібно отримати роль користувача на сайті.
Найсерйозніша вразливість (6.5/10) — XML External Entity Injection через бібліотеку getID3 під час завантаження медіафайлів. Вона дозволяє користувачу з роллю «Автор» читати довільні файли на сервері.
Повний перелік десяти закритих вразливостей охоплює Blind SSRF, кілька XSS-вразливостей, обхід авторизації, DoS через регулярні вирази та проблему з обходом шляхів у PclZip.
Що робити власникам WordPress-сайтів
WordPress рекомендує щонайшвидше оновитися до версії 6.9.4. Якщо на сайті увімкнені автоматичні оновлення — перевірте, що вони дійсно застосувалися. Якщо ні — оновіть вручну.
Ця ситуація черговий раз демонструє, наскільки важливо регулярно обслуговувати сайт на WordPress: своєчасно оновлювати ядро, теми та плагіни, перевіряти сумісність компонентів і мати резервні копії на випадок збоїв після оновлень.
Комментарии