Vulnerabilidad en OpenEMR. (CVE-2014-5462)

Múltiples vulnerabilidades de inyección SQL en OpenEMR versión 4.1.2 (Parche 7) y anteriores, permiten a los usuarios autenticados remotos ejecutar comandos SQL arbitrarios por medio del (1) parámetro layout_id en el archivo interface/super/edit_layout.php; parámetro (2) form_patient_id, (3) form_drug_name, o (4) form_lot_number en el archivo interface/reports/prescriptions_report.php; (5) parámetro payment_id en el archivo interface/billing/edit_payment.php; (6) parámetro id en el archivo interface/forms_admin/forms_admin.php; parámetro (7) form_pid o (8) form_encounter en el archivo interface/billing/sl_eob_search.php; (9) parámetro sortby en el archivo interface/logview/logview.php; parámetro form_facility en el archivo (10) procedure_stats.php, (11) pending_followup.php, o (12) pending_orders.php en interface/orders/; parámetro (13) patient, (14) encounterid, (15) formid, o (16) issue en el archivo interface/patient_file/deleter.php; (17) parámetro search_term en el archivo interface/patient_file/encounter/coding_popup.php; (18) parámetro text en el archivo interface/patient_file/encounter/search_code.php; parámetro (19) form_addr1, (20) form_addr2, (21) form_attn, (22) form_country, (23) form_freeb_type, (24) form_partner, (25) form_name, (26) form_zip, (27) form_state, (28) form_city, o (29) form_cms_id en el archivo interface/practice/ins_search.php; (30) parámetro form_pid en el archivo interface/patient_file/problem_encounter.php; parámetro (31) patient, (32) form_provider, (33) form_apptstatus, o (34) form_facility en el archivo interface/reports/appointments_report.php; (35) parámetro db_id en el archivo interface/patient_file/summary/demographics_save.php; (36) parámetro p en el archivo interface/fax/fax_dispatch_newpid.php; o (37) parámetro patient_id en el archivo interface/patient_file/reminder/patient_reminders.php.