CVE-2026-8198 in Activity Logs, User Activity Tracking, Multisite Activity Log Plugininformação

Sumário

de VulDB • 24/05/2026

Os registros de atividade (Activity Logs), o rastreamento de atividade do usuário (User Activity Tracking) e o registro de atividade multisite (Multisite Activity Log) do plugin Logtivity para WordPress estão vulneráveis a uma falha de autenticação que permite a divulgação de informações em versões até a 3.3.6, inclusive. Isso ocorre devido a uma falha de lógica no método verifyAuthorization, onde solicitações sem um cabeçalho Authorization ignoram a validação do token Bearer e retornam incondicionalmente true, contornando todas as verificações de autenticação. Isso permite que atacantes não autenticados acessem o endpoint da API REST /wp-json/logtivity/v1/options e recuperem todas as opções de configuração do plugin, incluindo a logtivity_site_api_key, que pode ser usada para se passar pelo site em chamadas de API para o serviço Logtivity.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

Wordfence

Reservar

09/05/2026

Divulgação

09/05/2026

Moderação

aceite

Entrada

VDB-362456

CPE

pronto

EPSS

0.00039

KEV

não

Atividades

muito baixo

Sector

Hostingprovider

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-8198
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-8198
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-8198/

VoltarVisão GeralPróximo

Might our Artificial Intelligence support you?

Check our Alexa App!