CVE-2014-5462,CNNVD-201412-179|OpenEMR SQL注入漏洞

OpenEMR SQL注入漏洞 CVE-2014-5462 CNNVD-201412-179

6.5 AV AC AU C I A

发布： 2014-12-08

修订： 2018-08-23

OpenEMR是OpenEMR社区所维护的一套开源的医疗管理系统。该系统可用于医疗实践管理、电子医疗记录、处方书写和医疗帐单申请。 OpenEMR 4.1.2(Patch 7)及之前版本中存在SQL注入漏洞，该漏洞源于interface/super/edit_layout.php脚本没有充分过滤‘layout_id’参数；interface/reports/prescriptions_report.php脚本没有充分过滤‘form_patient_id’、‘form_drug_name’和‘form_lot_number’参数； interface/billing/edit_payment.php脚本没有充分过滤‘payment_id’参数；interface/forms_admin/forms_admin.php脚本没有充分过滤‘id’参数；interface/billing/sl_eob_search.php脚本没有充分过滤‘form_pid’和‘form_encounter’参数；interface/logview/logview.php脚本没有充分过滤‘sortby’参数；procedure_stats.php、pending_followup.php和pending_orders.php脚本没有充分过滤‘form_facility’参数；interface/patient_file/deleter.php脚本没有充分滤‘patient’、‘encounterid’、‘formid’和‘issue’参数；interface/patient_file/encounter/coding_popup.php脚本没有充分过滤‘search_term’参数；interface/patient_file/encounter/search_code.php脚本没有充分过滤‘text’参数；interface/practice/ins_search.php脚本没有充分过滤多个参数（form_addr1，form_addr2，form_attn，form_country，form_freeb_type，form_partner，form_name，form_zip，form_state，form_city，form_cms_id）；interface/patient_file/problem_encounter.php脚本没有充分过滤‘form_pid’参数；interface/reports/appointments_report.php脚本没有充分过滤‘patient’、‘form_provider’、‘form_apptstatus’和‘form_facility’参数；interface/patient_file/summary/demographics_save.php脚本没有充分过滤‘db_id’参数；interface/fax/fax_dispatch_newpid.php脚本没有充分过滤‘p’参数；interface/patient_file/reminder/patient_reminders.php脚本没有充分过滤‘patient_id’参数。远程攻击者可利用该漏洞执行任意SQL命令。

漏洞利用/PoC

当前有2条漏洞利用/PoC

受影响的平台与产品

当前有1条受影响产品信息

您还没有登录，登录后可查看更多

添加资源
收藏资源
问题反馈

贡献用户

暂无贡献用户

VULHUB ™

OpenEMR SQL注入漏洞 CVE-2014-5462 CNNVD-201412-179

漏洞利用/PoC

受影响的平台与产品

贡献用户

相关漏洞清单