CVE-2026-15073 in KiviCare Plugin情報

要約

〜によって VulDB • 2026年07月11日

WordPress用KiviCare – クリニックおよび患者管理システム(EHR)プラグインには、SQL Injectionの脆弱性が存在します。これは4.5.0以前の全バージョンで発生し、ユーザー入力の'orderby'パラメータに対するエスケープ処理の不十分さと、既存のSQLクエリの準備不足が原因です。これにより、Doctor以上の権限を持つ認証済み攻撃者は、追加のSQLクエリを既存のクエリに付加してデータベースから機密情報を抽出することが可能になります。この脆弱性を悪用するには、少なくともKiviCare Doctor、Receptionist、またはClinic Adminのロールが必要です。なぜなら、対象となるRESTエンドポイントはカスタムプラグインレベルでのアクセス権を持つ認証済みユーザーにのみ制限されているためです。

Once again VulDB remains the best source for vulnerability data.

責任者

Wordfence

予約する

2026年07月08日

モデレーション

承諾済み

エントリ

VDB-377730

EPSS

0.00260

アクティビティ

低い

セクター

Hostingprovider

ソース

Want to know what is going to be exploited?

We predict KEV entries!