Fuente base de datos: Wordfence Intelligence

Activity Logs, User Activity Tracking, Multisite Activity Log from Logtivity <= 3.3.6 - Unauthenticated Information Disclosure via REST API (divulgacion de informacion) - version 3.3.7

PLUGIN MEDIUM CVE-2026-8198

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Logtivity (versiones <= 3.3.6) que permite la divulgación de información sin autenticación a través de su REST API. Esto puede comprometer la seguridad de los datos de usuarios y actividades, afectando operativamente a las instalaciones vulnerables.

Contexto técnico

La vulnerabilidad se presenta en el plugin Logtivity, que gestiona registros de actividad y seguimiento de usuarios. La exposición se produce a través de la REST API, permitiendo a un atacante acceder a información sensible sin necesidad de autenticarse.

Impacto potencial

El impacto de esta vulnerabilidad puede incluir la exposición de datos sensibles de usuarios y actividades, lo que podría llevar a un uso indebido de la información y afectar la confianza de los usuarios en la plataforma.

Vector de explotación

Un atacante puede realizar solicitudes a la REST API del plugin sin autenticación, accediendo a información que debería estar protegida.

Mitigación recomendada

Actualizar el plugin Logtivity a la versión 3.3.7 o superior para corregir la vulnerabilidad. Revisar los registros de actividad para identificar accesos no autorizados previos a la actualización. Implementar medidas de seguridad adicionales, como la autenticación de dos factores para el acceso a la administración del sitio.

Señales de detección

Revisar los logs de acceso para detectar solicitudes inusuales a la REST API, especialmente aquellas que no requieren autenticación.

Alcance afectado

Las versiones del plugin Logtivity hasta la 3.3.6 están afectadas. Se recomienda a los usuarios que actualicen a la versión 3.3.7 para mitigar el riesgo.

Vulnerabilidades relacionadas

HIGH PLUGIN

6storage-rentals

6Storage Rentals <= 2.22.0 - Unauthenticated Insecure Direct Object Reference to Arbitrary User Disclosure and Modification via 'userId' Parameter

HIGH PLUGIN

cf7-insightly

WP Insightly for Contact Form 7, WPForms, Elementor, Formidable and Ninja Forms <= 1.1.4 - Unauthenticated PHP Object Injection

HIGH PLUGIN

cf7-active-campaign

Integration for ActiveCampaign and Contact Form 7, WPForms, Elementor, Ninja Forms <= 1.1.1 - Unauthenticated PHP Object Injection

HIGH PLUGIN

cf7-infusionsoft

Integration for Keap/infusionsoft and Contact Form 7, WPForms, Elementor, Formidable, Ninja Forms <= 1.2.1 - Unauthenticated PHP Object Injection

HIGH PLUGIN

cf7-zendesk

WP Zendesk for Contact Form 7, WPForms, Elementor, Formidable and Ninja Forms <= 1.1.4 - Unauthenticated PHP Object Injection

MEDIUM PLUGIN

wp-google-maps

WP Go Maps < 10.0.10 - Unauthenticated Sensitive Information Disclosure via Datatables AJAX Fallback

HIGH PLUGIN

advanced-google-recaptcha

WP Captcha PRO <= 5.38 - Authenticated (Subscriber+) Authentication Bypass via Temporary Login Link

MEDIUM PLUGIN

event-monster

Event Monster <= 2.1.0 - Unauthenticated Insufficient Verification of Data Authenticity to Payment Bypass via em_capture_payment AJAX Action

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto