CVSS: 8.8EPSS: 0%CPEs: 2EXPL: 1CVE-2020-13568
https://notcve.org/view.php?id=CVE-2020-13568
SQL injection vulnerability exists in phpGACL 3.3.7. A specially crafted HTTP request can lead to a SQL injection. An attacker can send an HTTP request to trigger this vulnerability in admin/edit_group.php, when the POST parameter action is “Submit”, the POST parameter parent_id leads to a SQL injection. Se presenta una vulnerabilidad de inyección SQL en phpGACL versión 3.3.7. Una petición HTTP especialmente diseñada puede conllevar a una inyección SQL. • https://talosintelligence.com/vulnerability_reports/TALOS-2020-1179 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 8.8EPSS: 0%CPEs: 2EXPL: 1CVE-2020-13566
https://notcve.org/view.php?id=CVE-2020-13566
SQL injection vulnerabilities exist in phpGACL 3.3.7. A specially crafted HTTP request can lead to a SQL injection. An attacker can send an HTTP request to trigger this vulnerability In admin/edit_group.php, when the POST parameter action is “Delete”, the POST parameter delete_group leads to a SQL injection. Se presentan vulnerabilidades de inyección SQL en phpGACL versión 3.3.7. Una petición HTTP especialmente diseñada puede conllevar a una inyección SQL. • https://talosintelligence.com/vulnerability_reports/TALOS-2020-1179 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2021-25922
https://notcve.org/view.php?id=CVE-2021-25922
In OpenEMR, versions 4.2.0 to 6.0.0 are vulnerable to Reflected Cross-Site-Scripting (XSS) due to user input not being validated properly. An attacker could trick a user to click on a malicious url and execute malicious code. En OpenEMR, las versiones 4.2.0 a 6.0.0 son vulnerables a un ataque de tipo Cross-Site-Scripting (XSS) Reflejado debido a que la entrada del usuario no es validada apropiadamente. Un atacante podría engañar a un usuario para que haga clic en una URL maliciosa y ejecute un código malicioso • https://github.com/openemr/openemr/commit/0fadc3e592d84bc9dfe9e0403f8bd6e3c7d8427f https://www.whitesourcesoftware.com/vulnerability-database/CVE-2021-25922 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.8EPSS: 0%CPEs: 1EXPL: 0CVE-2021-25917
https://notcve.org/view.php?id=CVE-2021-25917
In OpenEMR, versions 5.0.2 to 6.0.0 are vulnerable to Stored Cross-Site-Scripting (XSS) due to user input not being validated properly and rendered in the U2F USB Device authentication method page. A highly privileged attacker could inject arbitrary code into input fields when creating a new user. En OpenEMR, las versiones 5.0.2 a 6.0.0 son vulnerables a Stored Cross-Site-Scripting (XSS) debido a que la entrada del usuario no se valida correctamente y se renderiza en la página del método de autenticación del dispositivo USB U2F. Un atacante con muchos privilegios podría inyectar código arbitrario en los campos de entrada al crear un nuevo usuario • https://github.com/openemr/openemr/commit/0fadc3e592d84bc9dfe9e0403f8bd6e3c7d8427f https://www.whitesourcesoftware.com/vulnerability-database/CVE-2021-25917 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.8EPSS: 0%CPEs: 1EXPL: 0CVE-2021-25918
https://notcve.org/view.php?id=CVE-2021-25918
In OpenEMR, versions 5.0.2 to 6.0.0 are vulnerable to Stored Cross-Site-Scripting (XSS) due to user input not being validated properly and rendered in the TOTP Authentication method page. A highly privileged attacker could inject arbitrary code into input fields when creating a new user. En OpenEMR, versiones 5.0.2 a 6.0.0, son vulnerables a un ataque de tipo Cross-Site-Scripting (XSS) Almacenado debido a que la entrada del usuario no es validada apropiadamente. Un atacante muy privilegiado podría inyectar código arbitrario en los campos de entrada al crear un nuevo usuario • https://github.com/openemr/openemr/commit/0fadc3e592d84bc9dfe9e0403f8bd6e3c7d8427f https://www.whitesourcesoftware.com/vulnerability-database/CVE-2021-25918 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •