CVE-2026-2991 in KiviCare Plugininformación

Resumen

por MITRE • 2026-03-18

El plugin KiviCare – Clinic & Patient Management System (EHR) para WordPress es vulnerable a la omisión de autenticación en todas las versiones hasta la 4.1.2, inclusive. Esto se debe a que la función 'patientSocialLogin()' no verifica el token de acceso del proveedor social antes de autenticar a un usuario. Esto hace posible que atacantes no autenticados inicien sesión como cualquier paciente registrado en el sistema proporcionando solo su dirección de correo electrónico y un valor arbitrario para el token de acceso, omitiendo toda verificación de credenciales. El atacante obtiene acceso a registros médicos sensibles, citas, recetas e información de facturación (violación de PII/PHI). Además, las cookies de autenticación se establecen antes de la verificación de rol, lo que significa que las cookies de autenticación para usuarios no pacientes (incluidos los administradores) también se establecen en los encabezados de respuesta HTTP, aunque se devuelve una respuesta 403.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Reservar

2026-02-22

Divulgación

2026-03-18

Moderación

aceptado

Artículo

VDB-351540

CPE

listo

EPSS

0.00066

KEV

no

Actividades

muy bajo

Sector

Hostingprovider

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-2991
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-2991
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-2991/

AnteriorVisión De ConjuntoPróximo

Do you know our Splunk app?

Download it now for free!