CVSS: 9.6EPSS: 2%CPEs: 2EXPL: 1CVE-2020-13563
https://notcve.org/view.php?id=CVE-2020-13563
A cross-site scripting vulnerability exists in the template functionality of phpGACL 3.3.7. A specially crafted HTTP request can lead to arbitrary JavaScript execution. An attacker can provide a crafted URL to trigger this vulnerability in the phpGACL template group_id parameter. Se presenta una vulnerabilidad de tipo cross-site scripting en la funcionalidad template de phpGACL versión 3.3.7. Una petición HTTP especialmente diseñada puede conllevar a una ejecución arbitraria de JavaScript. • https://talosintelligence.com/vulnerability_reports/TALOS-2020-1177 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') CWE-80: Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) •
CVSS: 9.6EPSS: 10%CPEs: 2EXPL: 1CVE-2020-13562
https://notcve.org/view.php?id=CVE-2020-13562
A cross-site scripting vulnerability exists in the template functionality of phpGACL 3.3.7. A specially crafted HTTP request can lead to arbitrary JavaScript execution. An attacker can provide a crafted URL to trigger this vulnaerability in the phpGACL template action parameter. Se presenta una vulnerabilidad de tipo cross-site scripting en la funcionalidad template de phpGACL versión 3.3.7. Una petición HTTP especialmente diseñada puede conllevar a una ejecución arbitraria de JavaScript. • https://talosintelligence.com/vulnerability_reports/TALOS-2020-1177 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') CWE-80: Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2020-13569
https://notcve.org/view.php?id=CVE-2020-13569
A cross-site request forgery vulnerability exists in the GACL functionality of OpenEMR 5.0.2 and development version 6.0.0 (commit babec93f600ff1394f91ccd512bcad85832eb6ce). A specially crafted HTTP request can lead to the execution of arbitrary requests in the context of the victim. An attacker can send an HTTP request to trigger this vulnerability. Se presenta una vulnerabilidad de tipo cross-site request forgery en la funcionalidad GACL de OpenEMR versión 5.0.2 y versión de desarrollo 6.0.0 (commit babec93f600ff1394f91ccd512bcad85832eb6ce). Una petición HTTP especialmente diseñada puede conllevar a una ejecución de peticiones arbitrarias en el contexto de la víctima. • https://talosintelligence.com/vulnerability_reports/TALOS-2020-1180 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 8.8EPSS: 1%CPEs: 1EXPL: 1CVE-2020-19364
https://notcve.org/view.php?id=CVE-2020-19364
OpenEMR 5.0.1 allows an authenticated attacker to upload and execute malicious PHP scripts through /controller.php. OpenEMR versión 5.0.1, permite a un atacante autenticado cargar y ejecutar scripts PHP maliciosos por medio del archivo /controller.php • https://github.com/EmreOvunc/OpenEMR_Vulnerabilities • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 2CVE-2018-16795
https://notcve.org/view.php?id=CVE-2018-16795
OpenEMR 5.0.1.3 allows Cross-Site Request Forgery (CSRF) via library/ajax and interface/super, as demonstrated by use of interface/super/manage_site_files.php to upload a .php file. OpenEMR versión 5.0.1.3, permite una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) por medio de las bibliotecas library/ajax e interface/super, como es demostrado mediante el uso del archivo interface/super/manage_site_files.php para cargar un archivo .php. • https://community.open-emr.org/t/openemr-security/10597 https://www.open-emr.org/wiki/images/1/11/Openemr_insecurity.pdf • CWE-352: Cross-Site Request Forgery (CSRF) •