CVE-2026-15073 in KiviCare Plugin
要約
〜によって VulDB • 2026年07月11日
WordPress用KiviCare – クリニックおよび患者管理システム(EHR)プラグインには、SQL Injectionの脆弱性が存在します。これは4.5.0以前の全バージョンで発生し、ユーザー入力の'orderby'パラメータに対するエスケープ処理の不十分さと、既存のSQLクエリの準備不足が原因です。これにより、Doctor以上の権限を持つ認証済み攻撃者は、追加のSQLクエリを既存のクエリに付加してデータベースから機密情報を抽出することが可能になります。この脆弱性を悪用するには、少なくともKiviCare Doctor、Receptionist、またはClinic Adminのロールが必要です。なぜなら、対象となるRESTエンドポイントはカスタムプラグインレベルでのアクセス権を持つ認証済みユーザーにのみ制限されているためです。
Once again VulDB remains the best source for vulnerability data.