The Activity Logs, User Activity Tracking, Multisite Activity Log from Logtivity plugin for WordPress is vulnerable to Authentication Bypass to Information Disclosure in versions up to, and including, 3.3.6. This is due to a logic flaw in the verifyAuthorization method where requests without an Authorization header skip Bearer token validation and fall through to an unconditional return true statement, bypassing all authentication checks. This makes it possible for unauthenticated attackers to access the /wp-json/logtivity/v1/options REST API endpoint and retrieve all plugin configuration options, including the logtivity_site_api_key which can be used to impersonate the site in API calls to the Logtivity service.
The Logtivity WordPress plugin versions up to 3.3.6 contain an authentication bypass vulnerability in the REST API that allows unauthenticated attackers to access sensitive configuration options. Attackers can retrieve the site API key and use it to impersonate the affected website in API calls to the Logtivity service.
ثغرة في طريقة verifyAuthorization بإضافة Logtivity تسمح للطلبات بدون رأس Authorization بتجاوز التحقق من Bearer token. يمكن للمهاجمين غير المصرح لهم الوصول إلى نقطة نهاية REST API واسترجاع جميع خيارات التكوين بما فيها مفتاح API الحساس.
ثغرة绕过المصادقة في إضافة Logtivity لـ WordPress تصل إلى الإصدار 3.3.6 تسمح للمهاجمين غير المصرح لهم بالوصول إلى خيارات التكوين الحساسة. يمكن للمهاجمين استرجاع مفتاح API للموقع واستخدامه لانتحال هوية الموقع في استدعاءات API.
Update the Logtivity plugin to version 3.3.7 or later immediately. If immediate patching is not possible, disable the plugin or restrict access to the /wp-json/logtivity/v1/options endpoint using Web Application Firewall rules or .htaccess restrictions. Review API key exposure and rotate the logtivity_site_api_key if compromise is suspected.
قم بتحديث إضافة Logtivity إلى الإصدار 3.3.7 أو أحدث فوراً. إذا لم يكن التحديث ممكناً، قم بتعطيل الإضافة أو تقييد الوصول إلى نقطة النهاية باستخدام قواعد جدار الحماية. قم بمراجعة تعريض مفتاح API وتدوير المفتاح إذا اشتبهت في الاختراق.