CVE-2006-0897 in Vpmi Enterpriseinformation

Résumé

par VulDB • 04/07/2026

** CONTESTÉ ** Une vulnérabilité d'injection SQL dans VCS Virtual Program Management Intranet (VPMi) Enterprise 3.3 permet aux attaquants distants d'exécuter des commandes SQL arbitraires via le paramètre UpdateID0 adressé à Service_Requests.asp. REMARQUE : l'origine de ces informations est inconnue ; les détails ont été obtenus exclusivement auprès de sources tierces. REMARQUE : l'éditeur conteste cette vulnérabilité, affirmant que « [nous] disposons d'un système complexe de gestion d'état en arrière-plan qui utilise une combinaison de clés placées dans le code JavaScript et dans la Session State (côté serveur) pour se protéger contre le type d'injection SQL décrit. Nous avons testé de nombreux cas et n'avons pas constaté qu'il s'agissait d'un problème. » Des investigations complémentaires suggèrent que le chercheur initial aurait pu provoquer des erreurs en utilisant des valeurs de champ invalides, ce qui ne constitue pas une preuve d'injection SQL ; toutefois, l'éditeur n'a reçu aucune réponse du chercheur initial.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Réserver

25/02/2006

Divulgation

25/02/2006

Modérer

accepté

Entrée

VDB-28907

CPE

prêt

EPSS

0.01381

KEV

non

Activités

très faible

Sources

Do you know our Splunk app?

Download it now for free!