CVE-2026-15072 in KiviCare PluginИнформация

Сводка

по VulDB • 11.07.2026

Плагин для WordPress «KiviCare – Clinic & Patient Management System (EHR)» уязвим к generic SQL Injection через параметр 'orderby' во всех версиях вплоть до 4.5.0 включительно из-за недостаточного экранирования параметров, вводимых пользователем, и отсутствия достаточной подготовки существующего SQL-запроса (SQL preparation). Это позволяет атакующим с уровнем доступа врача или выше добавлять дополнительные SQL-запросы к уже существующим запросам, что может быть использовано для извлечения конфиденциальной информации из базы данных. Для этого злоумышленник должен иметь как минимум учетную запись уровня «KiviCare Doctor» (Врач) либо роль Receptionist (Регистратор) или Clinic Admin (Администратора клиники), предоставляющую capability doctor_session_list.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Ответственный

Wordfence

Резервировать

08.07.2026

Раскрытие

11.07.2026

Модерация

принято

Вход

VDB-377729

EPSS

0.00000

KEV

Нет

Деятельности

Очень низкий

Сектор

Hostingprovider

Источники

Interested in the pricing of exploits?

See the underground prices here!