Er is een ernstige SQL-injectie kwetsbaarheid ontdekt in het Bian Que Feijiu Intelligent Emergency and Quality Control System, specifiek in de GetLyfsByParams endpoint. Dit probleem kan door een aanvaller zonder authenticatie worden misbruikt via
/AppService/BQMedical/WebServiceForFirstaidApp.asmx
, waarbij slecht gesaneerde gebruikersinvoer in de strOpid parameter kan leiden tot de injectie van willekeurige SQL-verklaringen.
De gevolgen van deze kwetsbaarheid zijn aanzienlijk: het kan leiden tot data-exfiltratie, authenticatie-omzeiling en mogelijk zelfs remote code execution afhankelijk van de backend-configuratie. Updates na juni 2025 zouden deze kwetsbaarheid moeten verhelpen, maar gebruikers zonder recente updates blijven kwetsbaar.
Overzicht
De getroffen versie is alle versies tot en met de builds van voor juni 2025. De kwetsbaarheid werd ontdekt door Qian’an Security en is gekenmerkt als kritieke kwetsbaarheid met een CVSS-score van 9.3.
Aanbevelingen
- Voer zo snel mogelijk een update uit naar de meest recente versie indien nog niet gedaan.
- Beoordeel en versterk de beveiligingsinstellingen van uw SQL-server om ongewenste toegang te beperken.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-34162?
CVE-2025-34162 betreft een SQL-injectie kwetsbaarheid zonder authenticatie in het Bian Que Feijiu systeem, specifiek beïnvloedend de GetLyfsByParams endpoint.
Welke systemen zijn kwetsbaar voor CVE-2025-34162?
Systemen draaien op versies van voor juni 2025 van het Bian Que Feijiu systeem zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, updates na juni 2025 zouden deze beveiligingsprobleem moeten hebben opgelost.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan data exfiltreren, voorbij de authenticatie raken en mogelijk zelfs code op afstand uitvoeren.
