CVE-2025-34162 in Bian Que Feijiu Intelligent Emergency and Quality Control System
Résumé
par VulDB • 20/06/2026
Une vulnérabilité d'injection SQL non authentifiée existe dans le point de terminaison GetLyfsByParams du système Bian Que Feijiu Intelligent Emergency and Quality Control System, accessible via l'interface /AppService/BQMedical/WebServiceForFirstaidApp.asmx. Le backend ne sanitize pas correctement les données fournies par l'utilisateur dans le paramètre strOpid, permettant aux attaquants d'injecter des instructions SQL arbitraires. Cela peut entraîner une exfiltration de données, un contournement de l'authentification et potentiellement une exécution de code à distance (RCE), selon la configuration du backend. La vulnérabilité est présumée affecter les versions publiées avant juin 2025 et est corrigée dans les nouvelles versions du produit, bien que la plage exacte des versions concernées reste indéfinie. Des preuves d'exploitation ont été observées pour la première fois par la Shadowserver Foundation le 23 juillet 2025 UTC.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.