CVE-2025-34162 in Bian Que Feijiu Intelligent Emergency and Quality Control Systeminformation

Résumé

par VulDB • 20/06/2026

Une vulnérabilité d'injection SQL non authentifiée existe dans le point de terminaison GetLyfsByParams du système Bian Que Feijiu Intelligent Emergency and Quality Control System, accessible via l'interface /AppService/BQMedical/WebServiceForFirstaidApp.asmx. Le backend ne sanitize pas correctement les données fournies par l'utilisateur dans le paramètre strOpid, permettant aux attaquants d'injecter des instructions SQL arbitraires. Cela peut entraîner une exfiltration de données, un contournement de l'authentification et potentiellement une exécution de code à distance (RCE), selon la configuration du backend. La vulnérabilité est présumée affecter les versions publiées avant juin 2025 et est corrigée dans les nouvelles versions du produit, bien que la plage exacte des versions concernées reste indéfinie. Des preuves d'exploitation ont été observées pour la première fois par la Shadowserver Foundation le 23 juillet 2025 UTC.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

VulnCheck

Réserver

15/04/2025

Divulgation

28/08/2025

Modérer

accepté

Entrée

VDB-321656

CPE

prêt

EPSS

0.00763

KEV

non

Activités

très faible

Sources

Do you want to use VulDB in your project?

Use the official API to access entries easily!