Qianan Security

Nome do Software Vulnerável e Versões Afetadas: Bian Que Feijiu Intelligent Emergency and Quality Control System (versões afetadas não especificadas) Descrição: Uma vulnerabilidade de injeção de SQL não autenticada está presente no endpoint `GetLyfsByParams` da interface `/AppService/BQMedical/WebServiceForFirstaidApp.asmx`. O backend não sanitiza adequadamente a entrada fornecida pelo usuário no parâmetro `strOpid`, permitindo que atacantes injetem comandos SQL arbitrários. Isso pode resultar em exfiltração de dados, bypass de autenticação e, potencialmente, execução remota de código, dependendo da configuração do backend. Recomendações: Até o momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: Dongsheng Logistics Software (versões afetadas não especificadas) Descrição: O Dongsheng Logistics Software expõe um endpoint não autenticado em `/CommMng/Print/UploadMailFile` que não aplica validação adequada de tipo de arquivo e controle de acesso. Um atacante pode carregar arquivos arbitrários, incluindo scripts executáveis como `.ashx`, via uma requisição POST `multipart/form-data` manipulada. Isso permite a execução remota de código no servidor, potencialmente levando ao comprometimento total do sistema. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.