CVE-2026-8198

Nome do Software Vulnerável e Versões Afetadas Logtivity versões anteriores a 3.3.7

Descrição Uma falha de lógica na função verifyAuthorization() permite que atacantes não autenticados ignorem as verificações de autenticação. Solicitações que omitem o cabeçalho de Autorização pulam a validação do token Bearer e acionam uma instrução de retorno verdadeiro incondicional. Isso permite o acesso não autorizado ao endpoint da REST API '/wp-json/logtivity/v1/options', possibilitando a recuperação de opções de configuração do plugin, incluindo a variável logtivity site api key, que pode ser usada para personificar o site em chamadas de API para o serviço Logtivity.

Recomendações Atualize para uma versão posterior à 3.3.6. Restrinja o acesso ao endpoint '/wp-json/logtivity/v1/options' para minimizar o risco de divulgação de informações.