CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2022-24643
https://notcve.org/view.php?id=CVE-2022-24643
25 Mar 2022 — A stored cross-site scripting (XSS) issue was discovered in the OpenEMR Hospital Information Management System version 6.0.0. Se ha detectado un problema de tipo cross-site scripting (XSS) almacenado en OpenEMR Hospital Information Management System versión 6.0.0 • https://github.com/openemr • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2022-25041
https://notcve.org/view.php?id=CVE-2022-25041
23 Mar 2022 — OpenEMR v6.0.0 was discovered to contain an incorrect access control issue. Se ha detectado que OpenEMR versión v6.0.0, contiene un problema de control de acceso incorrecto • https://github.com/openemr • CWE-668: Exposure of Resource to Wrong Sphere •
CVSS: 8.1EPSS: 0%CPEs: 1EXPL: 0CVE-2022-25471
https://notcve.org/view.php?id=CVE-2022-25471
02 Mar 2022 — An Insecure Direct Object Reference (IDOR) vulnerability in OpenEMR 6.0.0 allows any authenticated attacker to access and modify unauthorized areas via a crafted POST request to /modules/zend_modules/public/Installer/register. Una vulnerabilidad de Referencia Directa a Objetos Insegura (IDOR) en OpenEMR 6.0.0, permite a cualquier atacante autenticado acceder y modificar áreas no autorizadas por medio de una petición POST diseñada a /modules/zend_modules/public/Installer/register • https://github.com/openemr/openemr • CWE-639: Authorization Bypass Through User-Controlled Key •
CVSS: 6.8EPSS: 1%CPEs: 3EXPL: 5CVE-2021-41843 – OpenEMR 6.0.0 / 6.1.0-dev SQL Injection
https://notcve.org/view.php?id=CVE-2021-41843
15 Dec 2021 — An authenticated SQL injection issue in the calendar search function of OpenEMR 6.0.0 before patch 3 allows an attacker to read data from all tables of the database via the parameter provider_id, as demonstrated by the /interface/main/calendar/index.php?module=PostCalendar&func=search URI. Un problema de inyección SQL autenticada en la función calendar search de OpenEMR versiones 6.0.0 anteriores al parche 3, permite a un atacante leer datos de todas las tablas de la base de datos por medio del parámetro pr... • https://packetstorm.news/files/id/165301 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 6.5EPSS: 19%CPEs: 1EXPL: 4CVE-2021-40352 – OpenEMR 6.0.0 - 'noteid' Insecure Direct Object Reference (IDOR)
https://notcve.org/view.php?id=CVE-2021-40352
01 Sep 2021 — OpenEMR 6.0.0 has a pnotes_print.php?noteid= Insecure Direct Object Reference vulnerability via which an attacker can read the messages of all users. OpenEMR versión 6.0.0, presenta una vulnerabilidad de Referencia Directa a Objetos Inseguros en pnotes_print.php?noteid= por medio de la cual un atacante puede leer los mensajes de todos los usuarios OpenEMR version 6.0.0 suffers from an insecure direct object reference vulnerability. • https://packetstorm.news/files/id/164011 • CWE-639: Authorization Bypass Through User-Controlled Key •
CVSS: 8.1EPSS: 0%CPEs: 1EXPL: 1CVE-2021-25923
https://notcve.org/view.php?id=CVE-2021-25923
24 Jun 2021 — In OpenEMR, versions 5.0.0 to 6.0.0.1 are vulnerable to weak password requirements as it does not enforce a maximum password length limit. If a malicious user is aware of the first 72 characters of the victim user’s password, he can leverage it to an account takeover. En OpenEMR, versiones 5.0.0 hasta 6.0.0.1, son vulnerables a requisitos de contraseñas débiles, ya que no aplica un límite de longitud máxima de la contraseña. Si un usuario malicioso esta consciente los primeros 72 caracteres de la contraseña... • https://github.com/openemr/openemr/commit/28ca5c008d4a408b60001a67dfd3e0915f9181e0 • CWE-521: Weak Password Requirements •
CVSS: 8.2EPSS: 0%CPEs: 1EXPL: 0CVE-2021-32101
https://notcve.org/view.php?id=CVE-2021-32101
07 May 2021 — The Patient Portal of OpenEMR 5.0.2.1 is affected by a incorrect access control system in portal/patient/_machine_config.php. To exploit the vulnerability, an unauthenticated attacker can register an account, bypassing the permission check of this portal's API. Then, the attacker can then manipulate and read data of every registered patient. El Patient Portal of OpenEMR versión 5.0.2.1, está afectado por un sistema de control de acceso incorrecto en el archivo portal/patient/_machine_config.php. Para e... • https://blog.sonarsource.com/openemr-5-0-2-1-command-injection-vulnerability • CWE-732: Incorrect Permission Assignment for Critical Resource •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2021-32102
https://notcve.org/view.php?id=CVE-2021-32102
07 May 2021 — A SQL injection vulnerability exists (with user privileges) in library/custom_template/ajax_code.php in OpenEMR 5.0.2.1. Se presenta vulnerabilidad de inyección SQL (con privilegios de usuario) en la biblioteca library/custom_template/ajax_code.php en OpenEMR versión 5.0.2.1 • https://blog.sonarsource.com/openemr-5-0-2-1-command-injection-vulnerability • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 4.8EPSS: 0%CPEs: 1EXPL: 0CVE-2021-32103
https://notcve.org/view.php?id=CVE-2021-32103
07 May 2021 — A Stored XSS vulnerability in interface/usergroup/usergroup_admin.php in OpenEMR before 5.0.2.1 allows a admin authenticated user to inject arbitrary web script or HTML via the lname parameter. Una vulnerabilidad de tipo XSS almacenado en el archivo interface/usergroup/usergroup_admin.php en OpenEMR versiones anteriores a 5.0.2.1, permite a un usuario autenticado por un administrador inyectar un script web o HTML arbitrario por medio del parámetro lname • https://blog.sonarsource.com/openemr-5-0-2-1-command-injection-vulnerability • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2021-32104
https://notcve.org/view.php?id=CVE-2021-32104
07 May 2021 — A SQL injection vulnerability exists (with user privileges) in interface/forms/eye_mag/save.php in OpenEMR 5.0.2.1. Se presenta vulnerabilidad de inyección SQL (con privilegios de usuario) en el archivo interface/forms/eye_mag/save.php en OpenEMR versión 5.0.2.1 • https://blog.sonarsource.com/openemr-5-0-2-1-command-injection-vulnerability • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •