В необычной и тревожной ситуации оказались администраторы миллионов сайтов по всему миру, работающих на платформе WordPress. За период менее чем 24 часа, 10-11 марта 2026 года, команда разработчиков выпустила подряд три обновления: два критических, связанных с безопасностью, и одно, исправляющее ошибку совместимости. Такая срочность выпуска патчей, особенно в столь сжатые сроки, свидетельствует о серьёзности обнаруженных проблем и требует немедленного внимания со стороны всех, кто отвечает за поддержку веб-ресурсов.
Cуть проблем
Первым, 10 марта, стал релиз WordPress версии 6.9.2. Как прямо указано в официальном анонсе, это было обновление безопасности, и владельцам сайтов настоятельно рекомендовалось установить его немедленно. В списке исправленных уязвимостей значились десять различных проблем, что само по себе является значительным числом для одного патча. Среди них исследователи выделяют несколько особенно опасных категорий. Во-первых, это слепая уязвимость типа SSRF (Server-Side Request Forgery, подделка межсайтовых запросов на стороне сервера), которая позволяет злоумышленнику заставить сервер выполнить произвольные HTTP-запросы к внутренним ресурсам, недоступным извне. Во-вторых, были устранены две уязвимости типа XSS (межсайтовый скриптинг), позволяющие внедрять и хранить вредоносный код. Одна из них затрагивала навигационные меню, другая - механизм директивы "data-wp-bind". Подобные уязвимости часто используются для кражи сессий администраторов или посетителей сайта.
Кроме того, была исправлена проблема обхода авторизации в функции AJAX "query-attachments", что могло позволить неавторизованным пользователям получать доступ к медиафайлам. Отдельного внимания заслуживает уязвимость в сторонней библиотеке getID3, используемой для обработки метаданных мультимедийных файлов. В ней была обнаружена уязвимость типа XXE (Внешняя XML-сущность), которая при загрузке специально сформированного файла могла привести к чтению произвольных файлов с сервера или даже выполнению кода. Важно отметить, что команда безопасности WordPress скоординировала свои действия с сопровождающим библиотеки, и исправленная версия getID3 также стала доступной. Однако уже через несколько часов после выпуска 6.9.2 последовал релиз версии 6.9.3. Он не содержал исправлений безопасности, а был направлен на устранение критической ошибки совместимости, возникшей после установки предыдущего патча.
Как выяснилось, некоторые темы, использующие нестандартный механизм загрузки шаблонов, перестали работать после обновления до 6.9.2, что приводило к полной неработоспособности фронтенда сайта. Хотя такой подход и не является официально поддерживаемым, команда WordPress приняла решение оперативно выпустить исправление, чтобы восстановить функциональность миллионов ресурсов. Этот инцидент наглядно демонстрирует сложность поддержки экосистемы с тысячами сторонних расширений и тем, где даже безопасностные исправления могут неожиданно влиять на совместимость. Между тем, ситуация на этом не завершилась. Уже 11 марта был опубликован третий за сутки релиз - WordPress 6.9.4. В нём разработчики признали, что не все запланированные исправления безопасности были полностью применены в версии 6.9.2.
Таким образом, 6.9.4 также является критическим обновлением безопасности, которое необходимо установить незамедлительно. В частности, были окончательно устранены уязвимости, связанные с обходом пути (path traversal) в компоненте PclZip, обходом авторизации в функции «Заметки» (Notes) и уязвимость XXE в библиотеке getID3. Факт выпуска дополнительного патча, дорабатывающего предыдущие исправления, вызывает вопросы о процессе контроля качества и тестирования критических обновлений в команде WordPress. Для злоумышленников же подобные окна между неполными и полными исправлениями могут стать дополнительным шансом для эксплуатации.
С практической точки зрения, эта серия событий содержит несколько важных уроков для специалистов по информационной безопасности и администраторов сайтов. Во-первых, подчёркивается абсолютная необходимость своевременного обновления ядра WordPress до последней стабильной версии. В данном случае, актуальной является версия 6.9.4, и только она получает активную поддержку и защиту от известных уязвимостей. Во-вторых, перед установкой основных обновлений на критически важных продакшен-сайтах крайне рекомендуется проводить тестирование на промежуточной среде, чтобы выявить возможные конфликты с темами и плагинами. В-третьих, данный случай иллюстрирует важность мониторинга не только ядра CMS, но и её зависимостей, таких как сторонние библиотеки (в данном случае getID3), которые могут стать вектором для атаки.
В заключение, три обновления за сутки - это экстраординарное событие для столь распространённой платформы, как WordPress. Оно служит мощным напоминанием о динамичной и часто непредсказуемой природе киберугроз. Для бизнеса, чьё присутствие в интернете завязано на этой CMS, последствия промедления с установкой патчей могут быть катастрофическими: от взлома сайта и утечки данных клиентов до его полной недоступности. Поэтому оперативное применение предоставленных исправлений должно стать приоритетной задачей в ближайшие часы.
Ссылки
- https://wordpress.org/documentation/wordpress-version/version-6-9-2/
- https://wordpress.org/documentation/wordpress-version/version-6-9-3/
- https://wordpress.org/documentation/wordpress-version/version-6-9-4/
