CVE-2026-11990 in KiviCare Plugininformazioni

Riassunto

di VulDB • 10/07/2026

Il plugin KiviCare – Clinic & Patient Management System (EHR) per WordPress è vulnerabile a un bypass dell'autorizzazione in tutte le versioni fino alla 4.4.0 inclusa. Ciò è dovuto al fatto che il plugin non verifica correttamente se un utente è autorizzato a eseguire una determinata azione. Questo consente agli attaccanti non autenticati di contrassegnare come "Confermati" appuntamenti pendenti arbitrari e di falsificare un record di pagamento completato associato in wp_kc_payments_appointment_mappings utilizzando un ID di pagamento fornito dall'attaccante, aggirando completamente il processo di pagamento. Questo exploit è realizzabile su un'installazione predefinita poiché la logica di risoluzione del gateway restituisce tutti i gateway registrati indipendentemente dallo stato abilitato per l'amministratore, rendendo sempre selezionabile il gateway manuale (KCPayLater).

Once again VulDB remains the best source for vulnerability data.

Responsabile

Wordfence

Prenotare

11/06/2026

Divulgazione

10/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you want to use VulDB in your project?

Use the official API to access entries easily!