CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2019-17179
https://notcve.org/view.php?id=CVE-2019-17179
4.1.0, 4.1.1, 4.1.2, 4.1.2.3, 4.1.2.6, 4.1.2.7, 4.2.0, 4.2.1, 4.2.2, 5.0.0, 5.0.0.5, 5.0.0.6, 5.0.1, 5.0.1.1, 5.0.1.2, 5.0.1.3, 5.0.1.4, 5.0.1.5, 5.0.1.6, 5.0.1.7, 5.0.2, fixed in version 5.0.2.1 Una vulnerabilidad de tipo XSS en el archivo library/custom_template/add_template.php en OpenEMR versiones hasta 5.0.2, permite a un usuario malicioso ejecutar código en el contexto del navegador de una víctima por medio de un parámetro de consulta list_id diseñado. • https://github.com/lodestone-security/CVEs/blob/master/CVE-2019-17179/README.md https://github.com/openemr/openemr/pull/2701 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2019-8368
https://notcve.org/view.php?id=CVE-2019-8368
OpenEMR v5.0.1-6 allows XSS. OpenEMR versión v5.0.1-6, permite un ataque de tipo XSS. • https://know.bishopfox.com/advisories/openemr-5-0-16-remote-code-execution-cross-site-scripting • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.0EPSS: 0%CPEs: 1EXPL: 1CVE-2019-8371
https://notcve.org/view.php?id=CVE-2019-8371
OpenEMR v5.0.1-6 allows code execution. OpenEMR versión v5.0.1-6, permite la ejecución de código. • https://know.bishopfox.com/advisories/openemr-5-0-16-remote-code-execution-cross-site-scripting • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 9.0EPSS: 76%CPEs: 1EXPL: 1CVE-2019-3968
https://notcve.org/view.php?id=CVE-2019-3968
In OpenEMR 5.0.1 and earlier, an authenticated attacker can execute arbitrary commands on the host system via the Scanned Forms interface when creating a new form. En OpenEMR 5.0.1 y versiones anteriores, un atacante autenticado puede ejecutar comandos arbitrarios en el sistema host a través de la interfaz de formularios escaneados al crear un nuevo formulario. • https://www.tenable.com/security/research/tra-2019-40 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 6.5EPSS: 10%CPEs: 1EXPL: 1CVE-2019-3967
https://notcve.org/view.php?id=CVE-2019-3967
In OpenEMR 5.0.1 and earlier, the patient file download interface contains a directory traversal flaw that allows authenticated attackers to download arbitrary files from the host system. En OpenEMR 5.0.1 y versiones anteriores, la interfaz de descarga de archivos del paciente contiene un defecto de recorrido de directorio que permite a los atacantes autenticados descargar archivos arbitrarios desde el sistema host. • https://www.tenable.com/security/research/tra-2019-40 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •