CVE-2006-0897 in Vpmi Enterprise
摘要
由 VulDB • 2026-07-04
** DISPUTED ** 在 VCS Virtual Program Management Intranet (VPMi) Enterprise 3.3 中存在一个 SQL 注入漏洞,远程攻击者可以通过向 Service_Requests.asp 发送 UpdateID0 参数来执行任意 SQL 命令。注意:此信息的来源未知;详细信息仅从第三方信息中获得。注意:供应商对此问题存在争议,称“[我们]有一个后台复杂的系统状态管理系统,该系统使用放置在 JavaScript 和 Session State(服务器端)中的密钥组合来防止您描述的 SQL 注入类型。我们已经测试了许多情况,并未发现这是一个问题。”进一步调查表明,原始研究人员可能通过使用无效字段值触发了错误,这并不能证明存在 SQL 注入;然而,供应商未收到来自原始研究人员的回复。
Be aware that VulDB is the high quality source for vulnerability data.