WP Toolkit zeigt neuerdings alte (!) Schwachstellen

  • Moin!


    Mich irritiert seit einigen Tagen eine Anzeige im WordPress Toolkit meines Webhosting 8000: Dort werden drei Vulnerabilities gelistet, die aber schon Jahre existieren. Diese beziehen sich auf schwache MD5-Hashes, fehlende Verschlüsselung der Activation-Keys und SSRF-Schwachstellen:

    • WordPress Core - Informational - All known Versions - Weak Hashing Algorithm
    • WordPress Core - All Known Versions - Cleartext Storage of wp_signups.activation_key
    • WordPress Core All Versions - Unauthenticated Blind Server-Side Request Forgery vulnerability


    Screenshot.png


    Mich irritiert nicht, dass diese Schwachstellen trotz aktueller WP-Version gelistet werden - schliesslich sind sie auch mit WordPress 6.5 nicht gefixt. Aber sie werden mir erst seit wenigen Tagen angezeigt. Habt Ihr bei Euren Webhosting-Produkten ähnliche Effekte? Kann es sein, dass das WP-Toolkit vor kurzem aktualisiert wurde und als Folge diese CVEs erst neuerdings aufzeigt?

  • Ist mir auch aufgefallen ... irgendwo habe ich von der Seite gelesen, dass jemand (vermutlich "Wordfence" unter Quelle) aufgeräumt hat.
    Ist natürlich gerade für Einsteiger nicht so schön ... vor allem die allgemeinen alten generellen "Vulnerabilities" kann niemand fixen oder das WP Toolkit lindern.
    Und das Update auf 5.6 ist schon wichtig und sollte einem dann nicht so verregnet werden. Aber die Zeit wird das richten ...

    Issue - WordPress Toolkit reporting old vulnerabilities | Plesk Forum

    Wordpress Core vulnerabilities? : r/Wordpress (reddit.com)


    WH8000 SE 🥚 20 | WH1000 SE OST22 | WH1000 SE OST23 | WH1000 SE OST24 | WH 🥚🧶🥛🐖 | 🦆 VPS 200 🇺🇦🕊️

    Edited once, last by Copro: schön ().

    Like 1
  • kann ich die Meldungen also getrost liegen lassen?

    Jein: An den beiden ersten kannst Du nichts ändern, die dritte aber wenigstens durch das WP Toolkit "mitigieren" (also nicht korrigieren, aber im Risiko mindern). Und den WP-Core schön aktuell halten - für diese und zukünftige Schwachstellen...

  • Kennt jemand von Euch eine Möglichkeit, diese (bekannten) Schwachstellen aus dem Reporting des WP-Toolkits auszuschliessen? Also im Sinne eines "acknowledged, ich kann ja momentan eh nix machen".


    Hintergrund: Ich schaue regelmäßig im Webhosting nach Problemen / offenen Punkten. Dort lacht mich jetzt immer sehr prominent ein rotes Ausrufezeichen bzgl. WP-Schwachstellen an und ich muss erst in den Details nachschauen, dass es sich "nur" um die oben genannten handelt. Da sie z. Z. keine Aufmerksamkeit erfordern, würde ich sie gerne "quittieren"...