CVE-2026-11990 in KiviCare Pluginالمعلومات

الملخص

بحسب VulDB • 10/07/2026

يحتوي مكون WordPress الخاص بنظام إدارة العيادة والمرضى KiviCare – Clinic & Patient Management System (EHR) على ثغرة تسمح بتجاوز التفويض في جميع الإصدارات حتى 4.4.0 وشاملة لها. ويعود ذلك إلى عدم تحقق المكون بشكل صحيح من تفويض المستخدم لتنفيذ إجراء معين. وهذا يمكّن المهاجمين غير المصادق عليهم من تحديد مواعيد معلقة عشوائية كـ "مؤكدة" وإنشاء سجل دفعة مكتمل مزور في جدول wp_kc_payments_appointment_mappings باستخدام معرف دفع (payment ID) يمدّه به المهاجم، مما يتجاوز عملية الدفع بالكامل. يمكن تحقيق هذا الاستغلال على التثبيت الافتراضي لأن منطق تحديد بوابة الدفع يعيد جميع البوابات المسجلة بغض النظر عن حالة تمكين المسؤول لها، ما يجعل بوابة الدفع اليدوية (KCPayLater) قابلة للاختيار دائماً.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مسؤول

Wordfence

حجز

11/06/2026

إفشاء

10/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-377460

EPSS

0.00561

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

Want to stay up to date on a daily basis?

Enable the mail alert feature now!