CVE-2026-8198WordPress Logtivity插件在3.3.6及之前版本中存在严重的认证绕过漏洞,导致敏感信息泄露。该漏洞源于`verifyAuthorization`方法的逻辑错误,使得未携带`Authorization`头的请求能够绕过Bearer令牌验证。未经身份验证的远程攻击者可利用此缺陷,直接访问受保护的REST API端点`/wp-json/logtivity/v1/options`。通过该接口,攻击者能够获取插件的完整配置数据,特别是`logtivity_site_api_key`。泄露的API密钥允许攻击者冒充受害站点向Logtivity服务发送API请求,可能导致日志数据被恶意篡改或删除,严重破坏站点的审计追踪能力。
该漏洞的技术核心在于WordPress Logtivity插件中`Logtivity_Rest_Endpoints.php`文件的`verifyAuthorization`方法存在逻辑缺陷。该方法旨在验证REST API请求的合法性,通常需要检查HTTP请求头中的`Authorization: Bearer <token>`字段。然而,代码编写存在疏漏:当检测到请求头中缺失`Authorization`字段时,程序并未执行拒绝访问的逻辑,而是直接跳过了验证代码块,最终执行了函数末尾的`return true`语句。这意味着任何不带认证头的请求都会被默认视为“已通过验证”。攻击者利用这一逻辑漏洞,无需拥有任何WordPress账户权限,直接向`/wp-json/logtivity/v1/options`端点发送GET请求。服务器响应将返回包含插件所有配置信息的JSON对象。其中最为关键的数据是`logtivity_site_api_key`。一旦获取此密钥,攻击者即可在与Logtivity官方服务通信时冒充受害站点,进行虚假日志上报、数据清洗甚至可能触发其他连锁反应,导致数据完整性受损。