CVE-2025-34162 in Bian Que Feijiu Intelligent Emergency and Quality Control Systeminfo

Zusammenfassung

von VulDB • 20.06.2026

Eine nicht authentifizierte SQL-Injection-Schwachstelle besteht im Endpunkt GetLyfsByParams des Bian Que Feijiu Intelligent Emergency and Quality Control Systems, das über die Schnittstelle /AppService/BQMedical/WebServiceForFirstaidApp.asmx erreichbar ist. Die Backend-Software führt keine ordnungsgemäße Bereinigung (Sanitization) der vom Benutzer bereitgestellten Eingaben im Parameter strOpid durch, was es Angreifern ermöglicht, beliebige SQL-Anweisungen einzufügen. Dies kann zu Datenexfiltration, Umgehung der Authentifizierung und potenziell zur Remote Code Execution führen, abhängig von der Backend-Konfiguration. Die Schwachstelle betrifft voraussichtlich Builds, die vor Juni 2025 veröffentlicht wurden, und wurde in neueren Versionen des Produkts behoben; der genaue betroffene Bereich bleibt jedoch undefiniert. Hinweise auf eine Ausnutzung (Exploitation) wurden erstmals am 23. Juli 2025 UTC durch die Shadowserver Foundation beobachtet.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

VulnCheck

Reservieren

15.04.2025

Veröffentlichung

28.08.2025

Moderieren

akzeptiert

Eintrag

VDB-321656

CPE

bereit

EPSS

0.00763

KEV

nein

Aktivitäten

very low

Quellen

Might our Artificial Intelligence support you?

Check our Alexa App!