CVSS: 7.2EPSS: 0%CPEs: 1EXPL: 2CVE-2020-29139
https://notcve.org/view.php?id=CVE-2020-29139
A SQL injection vulnerability in interface/main/finder/patient_select.php from library/patient.inc in OpenEMR before 5.0.2.5 allows a remote authenticated attacker to execute arbitrary SQL commands via the searchFields parameter. Una vulnerabilidad de inyección SQL en el archivo interface/main/finder/ patient_select.php de library/patient.inc en OpenEMR versiones anteriores a 5.0.2.5 permite que un atacante autenticado remotamente ejecute comandos SQL arbitrarios por medio del parámetro searchFields • https://community.open-emr.org/t/openemr-6-0-0-has-been-released/15732 https://murat.one/?p=70 https://nitroteam.kz/index.php?action=researches&slug=OpenEMR--9035 https://www.open-emr.org/wiki/index.php/OpenEMR_Downloads • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 7.2EPSS: 0%CPEs: 1EXPL: 2CVE-2020-29140
https://notcve.org/view.php?id=CVE-2020-29140
A SQL injection vulnerability in interface/reports/immunization_report.php in OpenEMR before 5.0.2.5 allows a remote authenticated attacker to execute arbitrary SQL commands via the form_code parameter. Una vulnerabilidad de inyección SQL en el archivo interface/reports/immunization_report.php en OpenEMR versiones anteriores a 5.0.2.5, permite a un atacante autenticado remoto ejecutar comandos SQL arbitrarios por medio del parámetro form_code • https://community.open-emr.org/t/openemr-6-0-0-has-been-released/15732 https://murat.one/?p=86 https://nitroteam.kz/index.php?action=researches&slug=OpenEMR--9035 https://www.open-emr.org/wiki/index.php/OpenEMR_Downloads https://www.open-emr.org/wiki/index.php/OpenEMR_Patches • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 7.2EPSS: 0%CPEs: 1EXPL: 2CVE-2020-29142
https://notcve.org/view.php?id=CVE-2020-29142
A SQL injection vulnerability in interface/usergroup/usergroup_admin.php in OpenEMR before 5.0.2.5 allows a remote authenticated attacker to execute arbitrary SQL commands via the schedule_facility parameter when restrict_user_facility=on is in global settings. Una vulnerabilidad de inyección SQL en el archivo interface/usergroup/usergroup_admin.php en OpenEMR versiones anteriores a 5.0.2.5, permite a un atacante autenticado remoto ejecutar comandos SQL arbitrarios por medio del parámetro schedule_facility cuando restrict_user_facility=on está en la configuración global • https://community.open-emr.org/t/openemr-6-0-0-has-been-released/15732 https://murat.one/?p=90 https://nitroteam.kz/index.php?action=researches&slug=OpenEMR--9035 https://www.open-emr.org/wiki/index.php/OpenEMR_Downloads https://www.open-emr.org/wiki/index.php/OpenEMR_Patches • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2019-16404
https://notcve.org/view.php?id=CVE-2019-16404
Authenticated SQL Injection in interface/forms/eye_mag/js/eye_base.php in OpenEMR through 5.0.2 allows a user to extract arbitrary data from the openemr database via a non-parameterized INSERT INTO statement, as demonstrated by the providerID parameter. Una Inyección SQL autenticada en el archivo interface/forms/eye_mag/js/eye_base.php en OpenEMR versiones hasta 5.0.2, permite al usuario extraer datos arbitrarios de la base de datos de openemr por medio de una instrucción INSERT INTO no parametrizada, como es demostrado por el parámetro providerID. • https://github.com/lodestone-security/CVEs/blob/master/CVE-2019-16404/README.md • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2019-16862
https://notcve.org/view.php?id=CVE-2019-16862
Reflected XSS in interface/forms/eye_mag/view.php in OpenEMR 5.x before 5.0.2.1 allows a remote attacker to execute arbitrary code in the context of a user's session via the pid parameter. Una vulnerabilidad de tipo XSS reflejado en el archivo interface/forms/eye_mag/view.php en OpenEMR versiones 5.x anteriores a 5.0.2.1, permite a un atacante remoto ejecutar código arbitrario en el contexto de la sesión de un usuario por medio del parámetro pid. • https://github.com/lodestone-security/CVEs/blob/master/CVE-2019-16862/README.md https://github.com/openemr/openemr/pull/2685 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •