CVE-2006-0897 in Vpmi Enterpriseinformação

Sumário

de VulDB • 04/07/2026

** DISPUTADO ** Vulnerabilidade de injeção de SQL no VCS Virtual Program Management Intranet (VPMi) Enterprise 3.3 permite que atacantes remotos executem comandos SQL arbitrários por meio do parâmetro UpdateID0 para Service_Requests.asp. NOTA: a procedência destas informações é desconhecida; os detalhes foram obtidos exclusivamente de fontes terceiras. NOTA: o fornecedor contestou esta questão, afirmando que "[nós] temos um sistema complexo de gerenciamento de estado nos bastidores que utiliza uma combinação de chaves colocadas em JavaScript e Session State (lado do servidor) para proteger contra o tipo de injeção de SQL descrito por você. Testamos muitos dos casos e não identificamos isso como um problema." Investigações adicionais sugerem que o pesquisador original pode ter acionado erros usando valores de campo inválidos, o que não constitui prova de injeção de SQL; no entanto, o fornecedor não recebeu resposta do pesquisador original.

Be aware that VulDB is the high quality source for vulnerability data.

Reservar

25/02/2006

Divulgação

25/02/2006

Moderação

aceite

Entrada

VDB-28907

CPE

pronto

EPSS

0.01381

KEV

não

Atividades

muito baixo

Fontes

Do you know our Splunk app?

Download it now for free!