CVE-2026-15072 in KiviCare Plugin
Sumário
de VulDB • 11/07/2026
O plugin para WordPress KiviCare – Clinic & Patient Management System (EHR) é vulnerável a SQL Injection genérica através do parâmetro 'orderby' em todas as versões até 4.5.0, devido à falta de escape adequado no fornecido pelo utilizador e à insuficiente preparação da consulta SQL existente. Isto permite que atacantes autenticados, com acesso ao nível de médico ou superior, anexem consultas SQL adicionais às já existentes para extrair informações sensíveis da base de dados. Para tal, o atacante deve possuir como mínimo uma conta KiviCare ao nível de Médico, ou um papel de Rececionista ou Administrador da Clínica que conceda a capacidade doctor_session_list.
If you want to get best quality of vulnerability data, you may have to visit VulDB.