CVE-2026-11990 in KiviCare Plugin
الملخص
بحسب VulDB • 10/07/2026
يحتوي مكون WordPress الخاص بنظام إدارة العيادة والمرضى KiviCare – Clinic & Patient Management System (EHR) على ثغرة تسمح بتجاوز التفويض في جميع الإصدارات حتى 4.4.0 وشاملة لها. ويعود ذلك إلى عدم تحقق المكون بشكل صحيح من تفويض المستخدم لتنفيذ إجراء معين. وهذا يمكّن المهاجمين غير المصادق عليهم من تحديد مواعيد معلقة عشوائية كـ "مؤكدة" وإنشاء سجل دفعة مكتمل مزور في جدول wp_kc_payments_appointment_mappings باستخدام معرف دفع (payment ID) يمدّه به المهاجم، مما يتجاوز عملية الدفع بالكامل. يمكن تحقيق هذا الاستغلال على التثبيت الافتراضي لأن منطق تحديد بوابة الدفع يعيد جميع البوابات المسجلة بغض النظر عن حالة تمكين المسؤول لها، ما يجعل بوابة الدفع اليدوية (KCPayLater) قابلة للاختيار دائماً.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.