PT-2025-34944 · Unknown · Bian Que Feijiu Intelligent Emergency/Quality Control System
Qianan Security
·
Publicado
2025-08-27
·
Atualizado
2026-05-26
·
CVE-2025-34162
CVSS v4.0
9.3
Crítica
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas:
Bian Que Feijiu Intelligent Emergency and Quality Control System (versões afetadas não especificadas)
Descrição:
Uma vulnerabilidade de injeção de SQL não autenticada está presente no endpoint
GetLyfsByParams da interface /AppService/BQMedical/WebServiceForFirstaidApp.asmx. O backend não sanitiza adequadamente a entrada fornecida pelo usuário no parâmetro strOpid, permitindo que atacantes injetem comandos SQL arbitrários. Isso pode resultar em exfiltração de dados, bypass de autenticação e, potencialmente, execução remota de código, dependendo da configuração do backend.Recomendações:
Até o momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
RCE
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Bian Que Feijiu Intelligent Emergency/Quality Control System