CVE-2018-16795
https://notcve.org/view.php?id=CVE-2018-16795
OpenEMR 5.0.1.3 allows Cross-Site Request Forgery (CSRF) via library/ajax and interface/super, as demonstrated by use of interface/super/manage_site_files.php to upload a .php file. OpenEMR versión 5.0.1.3, permite una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) por medio de las bibliotecas library/ajax e interface/super, como es demostrado mediante el uso del archivo interface/super/manage_site_files.php para cargar un archivo .php. • https://community.open-emr.org/t/openemr-security/10597 https://www.open-emr.org/wiki/images/1/11/Openemr_insecurity.pdf • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2019-16404
https://notcve.org/view.php?id=CVE-2019-16404
Authenticated SQL Injection in interface/forms/eye_mag/js/eye_base.php in OpenEMR through 5.0.2 allows a user to extract arbitrary data from the openemr database via a non-parameterized INSERT INTO statement, as demonstrated by the providerID parameter. Una Inyección SQL autenticada en el archivo interface/forms/eye_mag/js/eye_base.php en OpenEMR versiones hasta 5.0.2, permite al usuario extraer datos arbitrarios de la base de datos de openemr por medio de una instrucción INSERT INTO no parametrizada, como es demostrado por el parámetro providerID. • https://github.com/lodestone-security/CVEs/blob/master/CVE-2019-16404/README.md • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2019-16862
https://notcve.org/view.php?id=CVE-2019-16862
Reflected XSS in interface/forms/eye_mag/view.php in OpenEMR 5.x before 5.0.2.1 allows a remote attacker to execute arbitrary code in the context of a user's session via the pid parameter. Una vulnerabilidad de tipo XSS reflejado en el archivo interface/forms/eye_mag/view.php en OpenEMR versiones 5.x anteriores a 5.0.2.1, permite a un atacante remoto ejecutar código arbitrario en el contexto de la sesión de un usuario por medio del parámetro pid. • https://github.com/lodestone-security/CVEs/blob/master/CVE-2019-16862/README.md https://github.com/openemr/openemr/pull/2685 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2019-17409
https://notcve.org/view.php?id=CVE-2019-17409
Reflected XSS exists in interface/forms/eye_mag/view.php in OpenEMR 5.x before 5.0.2.1 ia the id parameter. Se presenta una vulnerabilidad de tipo XSS reflejado en el archivo interface/forms/eye_mag/view.php en OpenEMR versiones 5.x anteriores a 5.0.2.1 en el parámetro id. • https://github.com/lodestone-security/CVEs/blob/master/CVE-2019-17409/README.md https://github.com/openemr/openemr/pull/2712/files • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2019-17197
https://notcve.org/view.php?id=CVE-2019-17197
OpenEMR through 5.0.2 has SQL Injection in the Lifestyle demographic filter criteria in library/clinical_rules.php that affects library/patient.inc. OpenEMR versiones hasta 5.0.2, presenta una inyección SQL en los criterios de filtro demográfico Lifestyle en la biblioteca library/clinic_rules.php que afecta a la biblioteca library/patient.inc. • https://github.com/openemr/openemr/pull/2692 https://github.com/openemr/openemr/pull/2698/files • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •