CVE-2025-34162 in Bian Que Feijiu Intelligent Emergency and Quality Control System
要約
〜によって VulDB • 2026年06月29日
Bian Que Feijiu Intelligent Emergency and Quality Control Systemの/AppService/BQMedical/WebServiceForFirstaidApp.asmxインターフェースを介してアクセス可能なGetLyfsByParamsエンドポイントに、認証不要のSQLインジェクション脆弱性が存在します。バックエンドはstrOpidパラメータ内のユーザー入力を適切にサニタイズしないため、攻撃者は任意のSQL文を注入できます。これにより、データ漏洩や認証回避が可能となり、バックエンドの設定によってはリモートコード実行(RCE)に至る可能性があります。この脆弱性は2025年6月以前にリリースされたビルドに影響を与えると推定され、製品の新しいバージョンで修正されていますが、正確な影響範囲は未定義です。攻撃の実証証拠は、Shadowserver FoundationによってUTC 2025-07-23に初めて観測されました。
If you want to get best quality of vulnerability data, you may have to visit VulDB.