CVE-2025-34162 in Bian Que Feijiu Intelligent Emergency and Quality Control System
Resumen
por VulDB • 2026-06-15
Existe una vulnerabilidad de SQL injection no autenticada en el endpoint GetLyfsByParams del Sistema Inteligente de Emergencia y Control de Calidad Bian Que Feijiu, accesible a través de la interfaz /AppService/BQMedical/WebServiceForFirstaidApp.asmx. El backend no sanitiza correctamente los datos proporcionados por el usuario en el parámetro strOpid, lo que permite a los atacantes inyectar sentencias SQL arbitrarias. Esto puede provocar exfiltración de datos, evasión de autenticación y potencialmente ejecución remota de código (RCE), dependiendo de la configuración del backend. Se presume que la vulnerabilidad afecta a las versiones publicadas antes de junio de 2025 y está corregida en versiones más recientes del producto, aunque el rango exacto afectado sigue sin estar definido. La evidencia de explotación fue observada por primera vez por Shadowserver Foundation el 23-07-2025 UTC.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.