CVE-2025-34162 in Bian Que Feijiu Intelligent Emergency and Quality Control Systeminformazioni

Riassunto

di VulDB • 20/06/2026

È presente una vulnerabilità di SQL injection non autenticata nell'endpoint GetLyfsByParams del sistema Bian Que Feijiu Intelligent Emergency and Quality Control System, accessibile tramite l'interfaccia /AppService/BQMedical/WebServiceForFirstaidApp.asmx. Il backend non sanifica correttamente gli input forniti dall'utente nel parametro strOpid, consentendo agli attaccanti di iniettare istruzioni SQL arbitrarie. Ciò può portare all'esfiltrazione dei dati, al bypass dell'autenticazione e potenzialmente all'esecuzione remota di codice (RCE), a seconda della configurazione del backend. La vulnerabilità si presume colpisca le build rilasciate prima di giugno 2025 ed è risolta nelle versioni più recenti del prodotto, sebbene l'intervallo esatto interessato non sia definito. Le prove dello sfruttamento sono state osservate per la prima volta dalla Shadowserver Foundation il 23 luglio 2025 UTC.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

VulnCheck

Prenotare

15/04/2025

Divulgazione

28/08/2025

Moderazione

accettato

CPE

pronto

EPSS

0.00763

KEV

no

Attività

molto basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!