CVE-2026-15072 in KiviCare Plugin
Сводка
по VulDB • 11.07.2026
Плагин для WordPress «KiviCare – Clinic & Patient Management System (EHR)» уязвим к generic SQL Injection через параметр 'orderby' во всех версиях вплоть до 4.5.0 включительно из-за недостаточного экранирования параметров, вводимых пользователем, и отсутствия достаточной подготовки существующего SQL-запроса (SQL preparation). Это позволяет атакующим с уровнем доступа врача или выше добавлять дополнительные SQL-запросы к уже существующим запросам, что может быть использовано для извлечения конфиденциальной информации из базы данных. Для этого злоумышленник должен иметь как минимум учетную запись уровня «KiviCare Doctor» (Врач) либо роль Receptionist (Регистратор) или Clinic Admin (Администратора клиники), предоставляющую capability doctor_session_list.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.