CVSS: 7.2EPSS: 0%CPEs: 1EXPL: 2CVE-2020-29140
https://notcve.org/view.php?id=CVE-2020-29140
A SQL injection vulnerability in interface/reports/immunization_report.php in OpenEMR before 5.0.2.5 allows a remote authenticated attacker to execute arbitrary SQL commands via the form_code parameter. Una vulnerabilidad de inyección SQL en el archivo interface/reports/immunization_report.php en OpenEMR versiones anteriores a 5.0.2.5, permite a un atacante autenticado remoto ejecutar comandos SQL arbitrarios por medio del parámetro form_code • https://community.open-emr.org/t/openemr-6-0-0-has-been-released/15732 https://murat.one/?p=86 https://nitroteam.kz/index.php?action=researches&slug=OpenEMR--9035 https://www.open-emr.org/wiki/index.php/OpenEMR_Downloads https://www.open-emr.org/wiki/index.php/OpenEMR_Patches • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 7.2EPSS: 0%CPEs: 1EXPL: 2CVE-2020-29142
https://notcve.org/view.php?id=CVE-2020-29142
A SQL injection vulnerability in interface/usergroup/usergroup_admin.php in OpenEMR before 5.0.2.5 allows a remote authenticated attacker to execute arbitrary SQL commands via the schedule_facility parameter when restrict_user_facility=on is in global settings. Una vulnerabilidad de inyección SQL en el archivo interface/usergroup/usergroup_admin.php en OpenEMR versiones anteriores a 5.0.2.5, permite a un atacante autenticado remoto ejecutar comandos SQL arbitrarios por medio del parámetro schedule_facility cuando restrict_user_facility=on está en la configuración global • https://community.open-emr.org/t/openemr-6-0-0-has-been-released/15732 https://murat.one/?p=90 https://nitroteam.kz/index.php?action=researches&slug=OpenEMR--9035 https://www.open-emr.org/wiki/index.php/OpenEMR_Downloads https://www.open-emr.org/wiki/index.php/OpenEMR_Patches • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2019-17197
https://notcve.org/view.php?id=CVE-2019-17197
OpenEMR through 5.0.2 has SQL Injection in the Lifestyle demographic filter criteria in library/clinical_rules.php that affects library/patient.inc. OpenEMR versiones hasta 5.0.2, presenta una inyección SQL en los criterios de filtro demográfico Lifestyle en la biblioteca library/clinic_rules.php que afecta a la biblioteca library/patient.inc. • https://github.com/openemr/openemr/pull/2692 https://github.com/openemr/openemr/pull/2698/files • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2019-17179
https://notcve.org/view.php?id=CVE-2019-17179
4.1.0, 4.1.1, 4.1.2, 4.1.2.3, 4.1.2.6, 4.1.2.7, 4.2.0, 4.2.1, 4.2.2, 5.0.0, 5.0.0.5, 5.0.0.6, 5.0.1, 5.0.1.1, 5.0.1.2, 5.0.1.3, 5.0.1.4, 5.0.1.5, 5.0.1.6, 5.0.1.7, 5.0.2, fixed in version 5.0.2.1 Una vulnerabilidad de tipo XSS en el archivo library/custom_template/add_template.php en OpenEMR versiones hasta 5.0.2, permite a un usuario malicioso ejecutar código en el contexto del navegador de una víctima por medio de un parámetro de consulta list_id diseñado. • https://github.com/lodestone-security/CVEs/blob/master/CVE-2019-17179/README.md https://github.com/openemr/openemr/pull/2701 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.0EPSS: 76%CPEs: 1EXPL: 1CVE-2019-3968
https://notcve.org/view.php?id=CVE-2019-3968
In OpenEMR 5.0.1 and earlier, an authenticated attacker can execute arbitrary commands on the host system via the Scanned Forms interface when creating a new form. En OpenEMR 5.0.1 y versiones anteriores, un atacante autenticado puede ejecutar comandos arbitrarios en el sistema host a través de la interfaz de formularios escaneados al crear un nuevo formulario. • https://www.tenable.com/security/research/tra-2019-40 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •