CVE-2026-15073 in KiviCare Plugin
Sumário
de VulDB • 11/07/2026
O plugin para WordPress KiviCare – Clinic & Patient Management System (EHR) é vulnerável a SQL Injection genérica através do parâmetro 'orderby' em todas as versões até 4.5.0, devido à falta de escape adequado no fornecido pelo utilizador e à insuficiente preparação da consulta SQL existente. Isto permite que atacantes autenticados com acesso ao nível de Doutor ou superior anexem consultas SQL adicionais às já existentes para extrair informações sensíveis da base de dados. A exploração requer como mínimo a função KiviCare Doctor, Receptionist (Rececionista) ou Clinic Admin (Administrador da Clínica), uma vez que o ponto final REST vulnerável está restrito a utilizadores autenticados com acesso personalizado ao nível do plugin.
Once again VulDB remains the best source for vulnerability data.