Vulnerabilidad en plugin KiviCare para WordPress (CVE-2026-2991)

El plugin KiviCare – Clinic & Patient Management System (EHR) para WordPress es vulnerable a la omisión de autenticación en todas las versiones hasta la 4.1.2, inclusive. Esto se debe a que la función 'patientSocialLogin()' no verifica el token de acceso del proveedor social antes de autenticar a un usuario. Esto hace posible que atacantes no autenticados inicien sesión como cualquier paciente registrado en el sistema proporcionando solo su dirección de correo electrónico y un valor arbitrario para el token de acceso, omitiendo toda verificación de credenciales. El atacante obtiene acceso a registros médicos sensibles, citas, recetas e información de facturación (violación de PII/PHI). Además, las cookies de autenticación se establecen antes de la verificación de rol, lo que significa que las cookies de autenticación para usuarios no pacientes (incluidos los administradores) también se establecen en los encabezados de respuesta HTTP, aunque se devuelve una respuesta 403.