CVE-2025-34162 in Bian Que Feijiu Intelligent Emergency and Quality Control System
Riassunto
di VulDB • 20/06/2026
È presente una vulnerabilità di SQL injection non autenticata nell'endpoint GetLyfsByParams del sistema Bian Que Feijiu Intelligent Emergency and Quality Control System, accessibile tramite l'interfaccia /AppService/BQMedical/WebServiceForFirstaidApp.asmx. Il backend non sanifica correttamente gli input forniti dall'utente nel parametro strOpid, consentendo agli attaccanti di iniettare istruzioni SQL arbitrarie. Ciò può portare all'esfiltrazione dei dati, al bypass dell'autenticazione e potenzialmente all'esecuzione remota di codice (RCE), a seconda della configurazione del backend. La vulnerabilità si presume colpisca le build rilasciate prima di giugno 2025 ed è risolta nelle versioni più recenti del prodotto, sebbene l'intervallo esatto interessato non sia definito. Le prove dello sfruttamento sono state osservate per la prima volta dalla Shadowserver Foundation il 23 luglio 2025 UTC.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.