Fuente base de datos: Wordfence Intelligence

Activity Logs, User Activity Tracking, Multisite Activity Log from Logtivity <= 3.3.6 - Unauthenticated Information Disclosure via REST API (divulgacion de informacion) - version 3.3.7

PLUGIN MEDIUM CVE-2026-8198

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin Logtivity (versiones <= 3.3.6) que permite la divulgación de información sin autenticación a través de su REST API. Esto puede comprometer la seguridad de los datos de usuarios y actividades, afectando operativamente a las instalaciones vulnerables.

Contexto técnico

La vulnerabilidad se presenta en el plugin Logtivity, que gestiona registros de actividad y seguimiento de usuarios. La exposición se produce a través de la REST API, permitiendo a un atacante acceder a información sensible sin necesidad de autenticarse.

Impacto potencial

El impacto de esta vulnerabilidad puede incluir la exposición de datos sensibles de usuarios y actividades, lo que podría llevar a un uso indebido de la información y afectar la confianza de los usuarios en la plataforma.

Vector de explotación

Un atacante puede realizar solicitudes a la REST API del plugin sin autenticación, accediendo a información que debería estar protegida.

Mitigación recomendada

Actualizar el plugin Logtivity a la versión 3.3.7 o superior para corregir la vulnerabilidad. Revisar los registros de actividad para identificar accesos no autorizados previos a la actualización. Implementar medidas de seguridad adicionales, como la autenticación de dos factores para el acceso a la administración del sitio.

Señales de detección

Revisar los logs de acceso para detectar solicitudes inusuales a la REST API, especialmente aquellas que no requieren autenticación.

Alcance afectado

Las versiones del plugin Logtivity hasta la 3.3.6 están afectadas. Se recomienda a los usuarios que actualicen a la versión 3.3.7 para mitigar el riesgo.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

shapepress-dsgvo

WP DSGVO Tools (GDPR) <= 3.1.39 - Missing Authorization to Unauthenticated Sensitive Personal Data Disclosure via subject-access-request AJAX Endpoint (process_now/is_ajax Parameters)

CRITICAL PLUGIN

fusion-builder

Avada (Fusion) Builder <= 3.15.3 - Unauthenticated Arbitrary File Deletion via Form Entry Value

MEDIUM PLUGIN

2download-connector

2Download Connector for 2DL Hosted Checkout <= 0.1.5 - Missing Authorization to Unauthenticated Sensitive Customer Subscription Data Exposure via 'ToDownload_email' Parameter

MEDIUM PLUGIN

strabl-a-checkout-solution

STRABL <= 4.5 - Unauthenticated Arbitrary Webhook Creation via REST API Endpoint

MEDIUM PLUGIN

eventkoi-lite

Event Koi Lite <= 1.3.13.1 - Missing Authorization to Unauthenticated Sensitive Information Exposure via REST API Endpoints

MEDIUM PLUGIN

firebox

FireBox Popups <= 3.1.7 - Unauthenticated Sensitive Information Exposure in 'form_id' Parameter

MEDIUM PLUGIN

simple-membership

Simple Membership <= 4.7.5 - Missing Authorization to Unauthenticated Arbitrary Member Account Deactivation via Forged Stripe 'charge.refunded' Webhook

MEDIUM PLUGIN

video-conferencing-with-zoom-api

Video Conferencing with Zoom <= 4.6.7 - Missing Authorization to Unauthenticated Zoom SDK Credential Exposure via 'get_auth' AJAX Action

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto