CVE-2026-2991 in KiviCare Pluginالمعلومات

الملخص

بحسب VulDB • 22/05/2026

يحتوي مكون WordPress الخاص بنظام إدارة العيادات والمرضى KiviCare – Clinic & Patient Management System (EHR) على ثغرة تسمح بتجاوز المصادقة (Authentication Bypass) في جميع الإصدارات حتى 4.1.2 وشاملةً لها. ويعود ذلك إلى عدم قيام الدالة `patientSocialLogin()` بالتحقق من رمز الوصول (access token) المزوّد من مزوّد الخدمة الاجتماعية قبل مصادقة المستخدم. مما يتيح للمهاجمين غير المصادق عليهم تسجيل الدخول بصفتهم أي مريض مسجّل في النظام عن طريق تقديم عنوان بريدهم الإلكتروني فقط وقيمة عشوائية لرمز الوصول، متجاوزين بذلك جميع عمليات التحقق من بيانات الاعتماد. يكتسب المهاجم بذلك وصولاً إلى السجلات الطبية الحساسة، والمواعيد، والوصفات الطبية، ومعلومات الفواتير (انتهاك لبيانات التعريف الشخصية PII / البيانات الصحية المحمية PHI). بالإضافة إلى ذلك، يتم تعيين ملفات تعريف الارتباط الخاصة بالمصادقة (authentication cookies) قبل التحقق من الدور (role check)، مما يعني أن ملفات تعريف الارتباط الخاصة بالمستخدمين غير المرضى (بما في ذلك المسؤولون) تُعيّن أيضاً في رؤوس استجابة HTTP، حتى عند إرجاع استجابة 403.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

Wordfence

حجز

22/02/2026

إفشاء

18/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-351540

EPSS

0.00066

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-2991
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-2991
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-2991/

التالي نظرة عامة السابق

Do you need the next level of professionalism?

Upgrade your account now!