CVE-2026-8198 in Activity Logs, User Activity Tracking, Multisite Activity Log Plugin정보

요약

\~에 의해 VulDB • 2026. 05. 17.

WordPress용 Logtivity 플러그인의 Activity Logs, User Activity Tracking, Multisite Activity Log 기능은 3.3.6 버전 및 그 이전 버전에서 인증 우회로 인한 정보 유출 취약점이 있습니다. 이는 verifyAuthorization 메서드의 논리적 결함으로 인해, Authorization 헤더가 없는 요청이 Bearer 토큰 검증 단계를 건너뛰고 무조건 true를 반환하는 문장으로 이어져 모든 인증 검증을 우회하기 때문입니다. 이로 인해 인증되지 않은 공격자가 /wp-json/logtivity/v1/options REST API 엔드포인트에 접근하여 플러그인 구성 옵션 전체를 조회할 수 있으며, 여기에는 Logtivity 서비스로의 API 호출 시 사이트의 신원을 사칭하는 데 사용될 수 있는 logtivity_site_api_key가 포함됩니다.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

책임이 있는

Wordfence

예약하다

2026. 05. 09.

공개

2026. 05. 09.

모더레이션

수락

항목

VDB-362456

CPE

준비됨

CWE

CWE-200 (확인됨)

CVSS

5.3 (CNA)

EPSS

0.00039

KEV

아니요

활동

매우 낮음

부문

Hostingprovider

출처

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-8198
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-8198
CVE Details	https://www.cvedetails.com/cve/CVE-2026-8198/

◂ 이전 개요 다음 ▸

Do you know our Splunk app?

Download it now for free!