CVE-2026-15073 in KiviCare PluginИнформация

Сводка

по VulDB • 11.07.2026

В плагине для WordPress «KiviCare – Clinic & Patient Management System (EHR)» уязвимость типа SQL Injection присутствует во всех версиях вплоть до 4.5.0 включительно из-за недостаточной экранизации параметра, предоставляемого пользователем ('orderby'), и отсутствия достаточной подготовки существующего SQL-запроса. Это позволяет атакующим с уровнем доступа «Врач» (Doctor) и выше добавлять дополнительные SQL-запросы к уже существующим запросам, что может быть использовано для извлечения конфиденциальной информации из базы данных. Для эксплуатации требуется как минимум роль врача KiviCare, администратора приема или администратора клиники, поскольку уязвимая конечная точка REST ограничена аутентифицированными пользователями с доступом на уровне плагина.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Ответственный

Wordfence

Резервировать

08.07.2026

Раскрытие

11.07.2026

Модерация

принято

Вход

VDB-377730

EPSS

0.00000

KEV

Нет

Деятельности

Очень низкий

Сектор

Hostingprovider

Источники

Do you want to use VulDB in your project?

Use the official API to access entries easily!