CVE-2020-29139
https://notcve.org/view.php?id=CVE-2020-29139
A SQL injection vulnerability in interface/main/finder/patient_select.php from library/patient.inc in OpenEMR before 5.0.2.5 allows a remote authenticated attacker to execute arbitrary SQL commands via the searchFields parameter. Una vulnerabilidad de inyección SQL en el archivo interface/main/finder/ patient_select.php de library/patient.inc en OpenEMR versiones anteriores a 5.0.2.5 permite que un atacante autenticado remotamente ejecute comandos SQL arbitrarios por medio del parámetro searchFields • https://community.open-emr.org/t/openemr-6-0-0-has-been-released/15732 https://murat.one/?p=70 https://nitroteam.kz/index.php?action=researches&slug=OpenEMR--9035 https://www.open-emr.org/wiki/index.php/OpenEMR_Downloads • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2020-29140
https://notcve.org/view.php?id=CVE-2020-29140
A SQL injection vulnerability in interface/reports/immunization_report.php in OpenEMR before 5.0.2.5 allows a remote authenticated attacker to execute arbitrary SQL commands via the form_code parameter. Una vulnerabilidad de inyección SQL en el archivo interface/reports/immunization_report.php en OpenEMR versiones anteriores a 5.0.2.5, permite a un atacante autenticado remoto ejecutar comandos SQL arbitrarios por medio del parámetro form_code • https://community.open-emr.org/t/openemr-6-0-0-has-been-released/15732 https://murat.one/?p=86 https://nitroteam.kz/index.php?action=researches&slug=OpenEMR--9035 https://www.open-emr.org/wiki/index.php/OpenEMR_Downloads https://www.open-emr.org/wiki/index.php/OpenEMR_Patches • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2020-29142
https://notcve.org/view.php?id=CVE-2020-29142
A SQL injection vulnerability in interface/usergroup/usergroup_admin.php in OpenEMR before 5.0.2.5 allows a remote authenticated attacker to execute arbitrary SQL commands via the schedule_facility parameter when restrict_user_facility=on is in global settings. Una vulnerabilidad de inyección SQL en el archivo interface/usergroup/usergroup_admin.php en OpenEMR versiones anteriores a 5.0.2.5, permite a un atacante autenticado remoto ejecutar comandos SQL arbitrarios por medio del parámetro schedule_facility cuando restrict_user_facility=on está en la configuración global • https://community.open-emr.org/t/openemr-6-0-0-has-been-released/15732 https://murat.one/?p=90 https://nitroteam.kz/index.php?action=researches&slug=OpenEMR--9035 https://www.open-emr.org/wiki/index.php/OpenEMR_Downloads https://www.open-emr.org/wiki/index.php/OpenEMR_Patches • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2020-19364
https://notcve.org/view.php?id=CVE-2020-19364
OpenEMR 5.0.1 allows an authenticated attacker to upload and execute malicious PHP scripts through /controller.php. OpenEMR versión 5.0.1, permite a un atacante autenticado cargar y ejecutar scripts PHP maliciosos por medio del archivo /controller.php • https://github.com/EmreOvunc/OpenEMR_Vulnerabilities • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVE-2018-16795
https://notcve.org/view.php?id=CVE-2018-16795
OpenEMR 5.0.1.3 allows Cross-Site Request Forgery (CSRF) via library/ajax and interface/super, as demonstrated by use of interface/super/manage_site_files.php to upload a .php file. OpenEMR versión 5.0.1.3, permite una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) por medio de las bibliotecas library/ajax e interface/super, como es demostrado mediante el uso del archivo interface/super/manage_site_files.php para cargar un archivo .php. • https://community.open-emr.org/t/openemr-security/10597 https://www.open-emr.org/wiki/images/1/11/Openemr_insecurity.pdf • CWE-352: Cross-Site Request Forgery (CSRF) •