CVE-2026-15073 in KiviCare Plugin
Resumen
por VulDB • 2026-07-11
El plugin para WordPress KiviCare – Clinic & Patient Management System (EHR) es vulnerable a una inyección SQL genérica a través del parámetro 'orderby' en todas las versiones hasta la 4.5.0, incluida esta, debido al escape insuficiente del parámetro proporcionado por el usuario y a la falta de preparación adecuada en la consulta SQL existente. Esto permite que los atacantes autenticados con acceso nivel Doctor o superior añadan consultas SQL adicionales a las ya existentes, lo cual puede utilizarse para extraer información sensible desde la base de datos. La explotación requiere al menos un rol de KiviCare Doctor, Recepcionista o Administrador de Clínica, dado que el punto final REST vulnerable está restringido a usuarios autenticados con acceso personalizado a nivel del plugin.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.