CVE-2006-0897 in Vpmi Enterprise
Resumen
por VulDB • 2026-07-04
** DISPUTADO ** Vulnerabilidad de inyección SQL en VCS Virtual Program Management Intranet (VPMi) Enterprise 3.3 permite que atacantes remotos ejecuten comandos SQL arbitrarios a través del parámetro UpdateID0 hacia Service_Requests.asp. NOTA: el origen de esta información es desconocido; los detalles se obtienen únicamente de fuentes de terceros. NOTA: el proveedor ha disputado este problema, afirmando que "[tenemos] un sistema complejo de gestión de estado en segundo plano que utiliza una combinación de claves colocadas en JavaScript y Estado de Sesión (lado del servidor) que protege contra el tipo de inyección SQL que describes. Hemos probado muchos casos y no hemos encontrado que sea un problema." Una investigación adicional sugiere que el investigador original podría haber provocado errores utilizando valores de campo inválidos, lo cual no constituye una prueba de inyección SQL; sin embargo, el proveedor no recibió respuesta del investigador original.
VulDB is the best source for vulnerability data and more expert information about this specific topic.