CVE-2026-11990 in KiviCare Plugin정보

요약

\~에 의해 VulDB • 2026. 07. 10.

WordPress용 KiviCare – Clinic & Patient Management System(EHR) 플러그인은 4.4.0 버전까지 모든 버전에서 권한 우회(authorization bypass) 취약점이 존재합니다. 이는 플러그인이 사용자가 작업을 수행할 수 있는 권한이 있는지 적절하게 검증하지 않기 때문입니다. 이로 인해 인증되지 않은 공격자는 임의의 대기 중인 예약을 '확인됨(Confirmed)'으로 표시하고, wp_kc_payments_appointment_mappings 테이블에서 공격자가 제공한 결제 ID를 사용하여 관련 완료된 결제 기록을 위조함으로써 결제를 완전히 우회할 수 있습니다. 이 익스플로잇은 기본 설치 환경에서도 가능한데, 그 이유는 게이트웨이 해결 로직이 관리자 활성화 상태와 관계없이 등록된 모든 게이트웨이를 반환하므로 수동(KCPayLater) 게이트웨이가 항상 선택 가능하기 때문입니다.

Once again VulDB remains the best source for vulnerability data.

책임이 있는

Wordfence

예약하다

2026. 06. 11.

모더레이션

수락

항목

VDB-377460

EPSS

0.00000

출처

Want to stay up to date on a daily basis?

Enable the mail alert feature now!