Moin!
Mich irritiert seit einigen Tagen eine Anzeige im WordPress Toolkit meines Webhosting 8000: Dort werden drei Vulnerabilities gelistet, die aber schon Jahre existieren. Diese beziehen sich auf schwache MD5-Hashes, fehlende Verschlüsselung der Activation-Keys und SSRF-Schwachstellen:
- WordPress Core - Informational - All known Versions - Weak Hashing Algorithm
- WordPress Core - All Known Versions - Cleartext Storage of wp_signups.activation_key
- WordPress Core All Versions - Unauthenticated Blind Server-Side Request Forgery vulnerability
Mich irritiert nicht, dass diese Schwachstellen trotz aktueller WP-Version gelistet werden - schliesslich sind sie auch mit WordPress 6.5 nicht gefixt. Aber sie werden mir erst seit wenigen Tagen angezeigt. Habt Ihr bei Euren Webhosting-Produkten ähnliche Effekte? Kann es sein, dass das WP-Toolkit vor kurzem aktualisiert wurde und als Folge diese CVEs erst neuerdings aufzeigt?