CVE-2026-15073 in KiviCare Plugininformación

Resumen

por VulDB • 2026-07-11

El plugin para WordPress KiviCare – Clinic & Patient Management System (EHR) es vulnerable a una inyección SQL genérica a través del parámetro 'orderby' en todas las versiones hasta la 4.5.0, incluida esta, debido al escape insuficiente del parámetro proporcionado por el usuario y a la falta de preparación adecuada en la consulta SQL existente. Esto permite que los atacantes autenticados con acceso nivel Doctor o superior añadan consultas SQL adicionales a las ya existentes, lo cual puede utilizarse para extraer información sensible desde la base de datos. La explotación requiere al menos un rol de KiviCare Doctor, Recepcionista o Administrador de Clínica, dado que el punto final REST vulnerable está restringido a usuarios autenticados con acceso personalizado a nivel del plugin.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

Wordfence

Reservar

2026-07-08

Divulgación

2026-07-11

Moderación

aceptado

Artículo

VDB-377730

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!