CVE-2026-8198 in Activity Logs, User Activity Tracking, Multisite Activity Log Plugininformación

Resumen

por VulDB • 2026-05-18

Los registros de actividad, el seguimiento de la actividad del usuario y el registro de actividad multisitio del plugin Logtivity para WordPress son vulnerables a una elusión de autenticación que conduce a la divulgación de información en las versiones 3.3.6 y anteriores. Esto se debe a un error de lógica en el método `verifyAuthorization`, donde las solicitudes sin una cabecera `Authorization` omiten la validación del token Bearer y pasan a una sentencia `return true` incondicional, eludiendo todas las comprobaciones de autenticación. Esto permite que atacantes no autenticados accedan al punto de conexión REST API `/wp-json/logtivity/v1/options` y recuperen todas las opciones de configuración del plugin, incluida la `logtivity_site_api_key`, que puede utilizarse para suplantar la identidad del sitio en llamadas API al servicio Logtivity.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Reservar

2026-05-09

Divulgación

2026-05-09

Moderación

aceptado

Artículo

VDB-362456

CPE

listo

EPSS

0.00039

KEV

no

Actividades

muy bajo

Sector

Hostingprovider

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-8198
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-8198
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-8198/

AnteriorVisión De ConjuntoPróximo

Interested in the pricing of exploits?

See the underground prices here!