CVE-2026-11990 in KiviCare Plugininfo

Zusammenfassung

von VulDB • 10.07.2026

Das WordPress-Plugin KiviCare – Clinic & Patient Management System (EHR) ist in allen Versionen bis einschließlich 4.4.0 anfällig für eine Umgehung der Autorisierung. Dies liegt daran, dass das Plugin nicht ordnungsgemäß überprüft, ob ein Benutzer zur Durchführung einer Aktion autorisiert ist. Dadurch können unberechtigte Angreifer beliebige ausstehende Termine als „Bestätigt“ markieren und einen zugehörigen abgeschlossenen Zahlungsvorgang in wp_kc_payments_appointment_mappings unter Verwendung einer vom Angreifer bereitgestellten Zahlungs-ID fälschen, wodurch die Zahlung vollständig umgangen wird. Dieser Exploit ist auf einer Standardinstallation möglich, da die Gateway-Auflösungslogik alle registrierten Gateways zurückgibt, unabhängig davon, ob sie für Administratoren aktiviert sind, was das manuelle (KCPayLater)-Gateway immer auswählbar macht.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

Wordfence

Reservieren

11.06.2026

Veröffentlichung

10.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377460

CPE

bereit

EPSS

0.00561

KEV

nein

Aktivitäten

very low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!