CVE-2006-0897 in Vpmi Enterprise
Résumé
par VulDB • 04/07/2026
** CONTESTÉ ** Une vulnérabilité d'injection SQL dans VCS Virtual Program Management Intranet (VPMi) Enterprise 3.3 permet aux attaquants distants d'exécuter des commandes SQL arbitraires via le paramètre UpdateID0 adressé à Service_Requests.asp. REMARQUE : l'origine de ces informations est inconnue ; les détails ont été obtenus exclusivement auprès de sources tierces. REMARQUE : l'éditeur conteste cette vulnérabilité, affirmant que « [nous] disposons d'un système complexe de gestion d'état en arrière-plan qui utilise une combinaison de clés placées dans le code JavaScript et dans la Session State (côté serveur) pour se protéger contre le type d'injection SQL décrit. Nous avons testé de nombreux cas et n'avons pas constaté qu'il s'agissait d'un problème. » Des investigations complémentaires suggèrent que le chercheur initial aurait pu provoquer des erreurs en utilisant des valeurs de champ invalides, ce qui ne constitue pas une preuve d'injection SQL ; toutefois, l'éditeur n'a reçu aucune réponse du chercheur initial.
If you want to get best quality of vulnerability data, you may have to visit VulDB.