Fuente base de datos: Wordfence Intelligence

Activity Logs, User Activity Tracking, Multisite Activity Log from Logtivity <= 3.3.6 - Unauthenticated Information Disclosure via REST API (divulgacion de informacion) - version 3.3.7

PLUGIN MEDIUM CVE-2026-8198

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Logtivity (versiones <= 3.3.6) que permite la divulgación de información sin autenticación a través de su REST API. Esto puede comprometer la seguridad de los datos de usuarios y actividades, afectando operativamente a las instalaciones vulnerables.

Contexto técnico

La vulnerabilidad se presenta en el plugin Logtivity, que gestiona registros de actividad y seguimiento de usuarios. La exposición se produce a través de la REST API, permitiendo a un atacante acceder a información sensible sin necesidad de autenticarse.

Impacto potencial

El impacto de esta vulnerabilidad puede incluir la exposición de datos sensibles de usuarios y actividades, lo que podría llevar a un uso indebido de la información y afectar la confianza de los usuarios en la plataforma.

Vector de explotación

Un atacante puede realizar solicitudes a la REST API del plugin sin autenticación, accediendo a información que debería estar protegida.

Mitigación recomendada

Actualizar el plugin Logtivity a la versión 3.3.7 o superior para corregir la vulnerabilidad. Revisar los registros de actividad para identificar accesos no autorizados previos a la actualización. Implementar medidas de seguridad adicionales, como la autenticación de dos factores para el acceso a la administración del sitio.

Señales de detección

Revisar los logs de acceso para detectar solicitudes inusuales a la REST API, especialmente aquellas que no requieren autenticación.

Alcance afectado

Las versiones del plugin Logtivity hasta la 3.3.6 están afectadas. Se recomienda a los usuarios que actualicen a la versión 3.3.7 para mitigar el riesgo.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

latepoint

LatePoint <= 5.5.0 - Unauthenticated Account Takeover via Weak Password Recovery Mechanism

MEDIUM PLUGIN

simply-schedule-appointments

Appointment Booking Calendar <= 1.6.10.6 - Unauthenticated Arbitrary Appointment View, Modification and Deletion

CRITICAL PLUGIN

geeky-bot

GeekyBot <= 1.2.2 - Missing Authorization to Unauthenticated Arbitrary Plugin Installation via 'geekybot_frontendajax' AJAX Action

MEDIUM PLUGIN

elementskit-lite

ElementsKit Elementor Addons <= 3.8.2 - Missing Authorization to Unauthenticated Widget Content Overwrite

MEDIUM PLUGIN

forminator

Forminator – Contact Form, Payment Form & Custom Form Builder <= 1.52.0 - Missing Authorization to Unauthenticated Stripe PaymentIntent Reuse / Underpayment Bypass via 'paymentid' Parameter

HIGH PLUGIN

forminator

Forminator Forms – Contact Form, Payment Form & Custom Form Builder <= 1.52.1 - Unauthenticated Arbitrary File Read via 'upload-1[file][file_path]'

CRITICAL PLUGIN

smart-wishlist-for-more-convert-premium

MoreConvert Pro <= 1.9.14 - Authentication Bypass via Waitlist Guest Verification Token Reuse

MEDIUM PLUGIN

subscribe-to-comments-reloaded

Subscribe To Comments Reloaded <= 240119 - Improper Authorization to Unauthenticated Arbitrary Subscription Management

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto