1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. WordPress 緊急更新 6.9.2で10件の脆弱性修正後、6.9.3と6.9.4が連続公開

WordPress 緊急更新 6.9.2で10件の脆弱性修正後、6.9.3と6.9.4が連続公開

セキュリティニュース

投稿日時: 更新日時:

WordPress 緊急更新 6.9.2で10件の脆弱性修正後、6.9.3と6.9.4が連続公開

WordPressコミュニティは2026年3月10日、WordPress 6.9.2をセキュリティリリースとして公開し、サイト管理者に即時更新を推奨しました。公式の6.9.2リリースでは、Blind SSRF、HTML APIとBlock RegistryにおけるPoPチェーン弱点、正規表現DoS、保存型XSS、権限回避、PclZipのパストラバーサル、外部ライブラリgetID3のXXEなど、合計10件のセキュリティ問題が修正対象として案内されています。

ただし、今回の件は6.9.2で終わりではありませんでした。WordPressは同日中に6.9.3を、翌3月11日には6.9.4を追加で公開しています。6.9.3は、6.9.2適用後に一部テーマでフロントエンドが真っ白になる不具合への緊急修正で、さらに6.9.4は、WordPress Security Teamが6.9.2と6.9.3で一部のセキュリティ修正が完全に適用されていなかったと判断したため、追加の修正を含めて公開されたものです。つまり、外部記事で6.9.2が must-patch と表現された方向性自体は間違っていませんが、2026年3月12日時点で実際に当てるべき最新版は6.9.4です。

6.9.2で修正された脆弱性の中身

公式ドキュメントによると、6.9.2では10件のセキュリティ問題が修正されました。内容は、Blind SSRF、HTML APIとBlock RegistryのPoP-chain weakness、numeric character referencesにおけるregex DoS weakness、ナビゲーションメニューのstored XSS、AJAX query-attachmentsのauthorization bypass、data-wp-bind directiveを通じたstored XSS、管理画面でクライアントサイドテンプレートを上書きできるXSS、PclZipのpath traversal、Notes機能のauthorization bypass、外部getID3ライブラリのXXEです

WordPressはあわせて、これらの修正を必要に応じてセキュリティ修正対象ブランチへバックポートすると説明しています。

現行の一次情報では、セキュリティ修正の対象は4.7系以降まで広げられるとされており、古いブランチを抱える環境にも一定の保護が配慮されています。ただし、WordPressはあくまで最新バージョンのみをアクティブサポート対象としているため、旧系統のまま運用を続けることが推奨されているわけではありません。

6.9.2のあとに何が起きたのか

6.9.2の公開直後、一部のテーマでテンプレートファイル読み込み時に不具合が起き、サイトのフロントエンドが表示されない事象が報告されました。WordPressはこれを受けて同日中に6.9.3を fast follow として公開し、通常サポート対象ではない stringable object を使った特殊なテンプレート読み込みに起因する問題を修正したと説明しています。影響テーマを使っているユーザーには、6.9.3への更新で表示不具合が回復すると案内されています。

その後さらに、WordPress Security Teamは6.9.2と6.9.3でセキュリティ修正が完全には適用されていなかったことを確認し、3月11日に6.9.4を公開しました。6.9.4の公式リリースは、6.9.2と6.9.3が10件のセキュリティ問題とテーマ表示不具合を修正したことを前提にしつつ、追加修正を含む最新版へ直ちに更新するよう推奨しています。管理者目線では、6.9.2の記事だけを見て止まるのではなく、現在の最新安定版まで追いかける必要があります。

関連記事

VS Codeの主要な拡張機能4件で危険性のある脆弱性-最大1.2億に影響(CVE-2025-65717,CVE-2025-65715,CVE-2025-65716)VS Codeの主要な拡張機能4件で危険性のある脆弱性-最大1.2億に影響(CVE-2025-65717,CVE-2025-65715,CVE-2025-65716) WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063) WordPress テーマ Jobmonsterに深刻な脆弱性(CVE-2025-5397)WordPress テーマ Jobmonsterに深刻な脆弱性(CVE-2025-5397) Apache HTTP Server 2.4.64 が公開、8件の脆弱性に対処 SSRF・DoS・セッションハイジャックなど修正Apache HTTP Server 2.4.64 が公開、8件の脆弱性に対処 SSRF・DoS・セッションハイジャックなど修正 Oracle E-Business Suiteの脆弱性 CVE-2025-61884がKEV入り-事前認証RCEチェーンのCVE-2025-61882も要注意Oracle E-Business Suiteの脆弱性 CVE-2025-61884がKEV入り-事前認証RCEチェーンのCVE-2025-61882も要注意 a-blog cms に複数の深刻な脆弱性-SSRF脆弱性はCVSSスコア9.2、即時のアップデートを推奨a-blog cms に複数の深刻な脆弱性-SSRF脆弱性はCVSSスコア9.2、即時のアップデートを推奨 フロントエンドフレームワークAstroのCloudflare Adapterで危険度の高い脆弱性(CVE-2025-58179)フロントエンドフレームワークAstroのCloudflare Adapterで危険度の高い脆弱性(CVE-2025-58179) WordPress用プラグイン「Forminator」で複数の脆弱性が発生WordPress用プラグイン「Forminator」で複数の脆弱性が発生 WordPress プラグイン「Sneeit Framework」に深刻な脆弱性(CVE-2025-6389)WordPress プラグイン「Sneeit Framework」に深刻な脆弱性(CVE-2025-6389)