CVE-2026-15072 in KiviCare Pluginthông tin

Tóm tắt

Bởi VulDB • 11/07/2026

Plugin WordPress của hệ thống quản lý phòng khám và bệnh nhân (EHR) KiviCare – Clinic & Patient Management System có lỗ hổng SQL Injection chung qua tham số 'orderby' trong tất cả các phiên bản từ 4.5.0 trở về trước do thiếu cơ chế thoát ký tự đúng cách đối với tham số do người dùng cung cấp và thiếu chuẩn bị đầy đủ cho truy vấn SQL hiện tại. Điều này cho phép những kẻ tấn công đã xác thực, có quyền truy cập ở mức bác sĩ hoặc cao hơn, chèn thêm các truy vấn SQL vào các truy vấn đang tồn tại để trích xuất thông tin nhạy cảm từ cơ sở dữ liệu. Kẻ tấn công phải nắm giữ ít nhất tài khoản cấp độ Bác sĩ KiviCare, hoặc vai trò Lễ tân (Receptionist) hoặc Quản lý Phòng khám (Clinic Admin) có khả năng thực thi doctor_session_list.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

chịu trách nhiệm

Wordfence

Đặt trước

08/07/2026

Tiết lộ

11/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you know our Splunk app?

Download it now for free!