Saltar al contenido

Fuente base de datos: Wordfence Intelligence

KiviCare <= 4.4.0 - Missing Authorization to Unauthenticated Payment Bypass and Appointment Status Manipulation via /payment-success REST Endpoint en Kivicare Clinic Management System (falta de autorizacion) - version 4.5.0

PLUGIN MEDIUM CVE-2026-11990

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin KiviCare (versiones <= 4.4.0) que permite a usuarios no autenticados eludir la autenticación en el endpoint de pagos. Esto puede resultar en manipulaciones no autorizadas de estados de citas, afectando la integridad del sistema.

Contexto técnico

El fallo se presenta en el endpoint REST '/payment-success', donde la falta de controles de autorización permite que usuarios no autenticados realicen acciones críticas relacionadas con pagos y estados de citas. Esto expone el sistema a accesos no deseados y cambios en la información sensible.

Impacto potencial

La explotación de esta vulnerabilidad puede comprometer la seguridad de datos sensibles y afectar la confianza de los usuarios en la plataforma. Un ataque exitoso podría llevar a pérdidas financieras y daños a la reputación del negocio.

Vector de explotación

Los atacantes pueden enviar solicitudes al endpoint vulnerable para realizar pagos sin autenticación, lo que les permite manipular el estado de las citas de manera ilícita.

Mitigación recomendada

Actualizar el plugin KiviCare a la versión 4.5.0 o superior para cerrar la vulnerabilidad. Revisar los registros de acceso al endpoint '/payment-success' para identificar accesos no autorizados. Implementar medidas adicionales de autenticación y autorización en los endpoints críticos.

Señales de detección

Monitorizar los registros del servidor para detectar patrones inusuales de acceso al endpoint '/payment-success', así como cualquier intento de manipulación de citas.

Alcance afectado

Las versiones del plugin KiviCare hasta la 4.4.0 están afectadas. Las instalaciones que no han sido actualizadas a la versión 4.5.0 o superior corren el riesgo de explotación.

Vulnerabilidades relacionadas

HIGH PLUGIN

kivicare-clinic-management-system

KiviCare – Clinic & Patient Management System (EHR) <= 4.1.2 - Unauthenticated Authentication Bypass via Social Login Token

MEDIUM PLUGIN

kivicare-clinic-management-system

KiviCare – Clinic & Patient Management System (EHR) <= 3.6.15 - Missing Authorization to Unauthenticated Limited Arbitrary File Upload

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad