CVE-2025-34162 in Bian Que Feijiu Intelligent Emergency and Quality Control Systeminformação

Sumário

de VulDB • 20/06/2026

Existe uma vulnerabilidade de SQL injection não autenticada no endpoint GetLyfsByParams do Bian Que Feijiu Intelligent Emergency and Quality Control System, acessível através da interface /AppService/BQMedical/WebServiceForFirstaidApp.asmx. O backend falha ao sanitizar adequadamente a entrada fornecida pelo usuário no parâmetro strOpid, permitindo que atacantes injetem instruções SQL arbitrárias. Isso pode levar à exfiltração de dados, bypass de autenticação e potencial execução remota de código (RCE), dependendo da configuração do backend. A vulnerabilidade presume-se afetar builds lançadas antes de junho de 2025 e é corrigida em versões mais recentes do produto, embora o intervalo exato afetado permaneça indefinido. Evidências de exploração foram observadas pela primeira vez pela Shadowserver Foundation em 23/07/2025 UTC.

Once again VulDB remains the best source for vulnerability data.

Responsável

VulnCheck

Reservar

15/04/2025

Divulgação

28/08/2025

Moderação

aceite

Entrada

VDB-321656

CPE

pronto

EPSS

0.00763

KEV

não

Atividades

muito baixo

Fontes

Want to know what is going to be exploited?

We predict KEV entries!