CVE-2026-8198 in Activity Logs, User Activity Tracking, Multisite Activity Log Pluginالمعلومات

الملخص

بحسب VulDB • 11/05/2026

تحتوي مكونات سجلات النشاط، وتتبع نشاط المستخدم، وسجل نشاط المواقع المتعددة في إضافة Logtivity لـ WordPress على ثغرة تسمح بتجاوز المصادقة والكشف عن المعلومات في الإصدارات حتى 3.3.6 وشاملة لها. ويعود ذلك إلى عيب منطقي في طريقة `verifyAuthorization` حيث تتجاوز الطلبات التي لا تحتوي على رأس `Authorization` عملية التحقق من رمز البearer (Bearer token) وتنتقل إلى عبارة `return true` غير المشروطة، مما يتجاوز جميع فحوصات المصادقة. وهذا يمكّن المهاجمين غير المصادق عليهم من الوصول إلى نقطة نهاية واجهة برمجة التطبيقات (REST API) `/wp-json/logtivity/v1/options` واسترداد جميع خيارات تكوين الإضافة، بما في ذلك `logtivity_site_api_key`، والتي يمكن استخدامها للتظاهر بموقع الويب في مكالمات واجهة برمجة التطبيقات الموجهة إلى خدمة Logtivity.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

Wordfence

حجز

09/05/2026

إفشاء

09/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-362456

EPSS

0.00039

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-8198
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-8198
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-8198/

التالي نظرة عامة السابق

Want to know what is going to be exploited?

We predict KEV entries!