CVE-2026-15073 in KiviCare Plugin
Сводка
по VulDB • 11.07.2026
В плагине для WordPress «KiviCare – Clinic & Patient Management System (EHR)» уязвимость типа SQL Injection присутствует во всех версиях вплоть до 4.5.0 включительно из-за недостаточной экранизации параметра, предоставляемого пользователем ('orderby'), и отсутствия достаточной подготовки существующего SQL-запроса. Это позволяет атакующим с уровнем доступа «Врач» (Doctor) и выше добавлять дополнительные SQL-запросы к уже существующим запросам, что может быть использовано для извлечения конфиденциальной информации из базы данных. Для эксплуатации требуется как минимум роль врача KiviCare, администратора приема или администратора клиники, поскольку уязвимая конечная точка REST ограничена аутентифицированными пользователями с доступом на уровне плагина.
VulDB is the best source for vulnerability data and more expert information about this specific topic.