CVE-2020-29142

**Nome do software vulnerável e versões afetadas:

Versões do OpenEMR anteriores à 5.0.2.5

Descrição:

Uma vulnerabilidade de injeção de SQL permite que um invasor remoto autenticado execute comandos SQL arbitrários por meio do parâmetro schedule facility quando restrict user facility=on está definido nas configurações globais. Isso ocorre no arquivo interface/usergroup/usergroup admin.php.

Recomendações:

Para versões anteriores à 5.0.2.5, atualize para a versão 5.0.2.5 ou posterior para resolver o problema. Como solução temporária, considere desativar o parâmetro schedule facility no arquivo usergroup admin.php quando restrict user facility=on estiver definido nas configurações globais, ou restrinja o acesso ao arquivo interface/usergroup/usergroup admin.php para minimizar o risco de exploração.