CVE-2025-34162 in Bian Que Feijiu Intelligent Emergency and Quality Control System
Zusammenfassung
von VulDB • 20.06.2026
Eine nicht authentifizierte SQL-Injection-Schwachstelle besteht im Endpunkt GetLyfsByParams des Bian Que Feijiu Intelligent Emergency and Quality Control Systems, das über die Schnittstelle /AppService/BQMedical/WebServiceForFirstaidApp.asmx erreichbar ist. Die Backend-Software führt keine ordnungsgemäße Bereinigung (Sanitization) der vom Benutzer bereitgestellten Eingaben im Parameter strOpid durch, was es Angreifern ermöglicht, beliebige SQL-Anweisungen einzufügen. Dies kann zu Datenexfiltration, Umgehung der Authentifizierung und potenziell zur Remote Code Execution führen, abhängig von der Backend-Konfiguration. Die Schwachstelle betrifft voraussichtlich Builds, die vor Juni 2025 veröffentlicht wurden, und wurde in neueren Versionen des Produkts behoben; der genaue betroffene Bereich bleibt jedoch undefiniert. Hinweise auf eine Ausnutzung (Exploitation) wurden erstmals am 23. Juli 2025 UTC durch die Shadowserver Foundation beobachtet.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.