5月5日,IT之家报道,PHP开源库ADOdb在近期推出了v5.22.9版本。此次更新着重解决了一个CVSS评分高达10分(满分)的重大安全缺陷CVE-2025-46337。据官方披露,该漏洞有可能对全球280万个已部署ADOdb的运行环境构成威胁。
据相关介绍,ADOdb 是一款备受欢迎的 PHP 数据库抽象层模块,该模块提供了一套统一的 API 接口,使得开发者能够运用一致的语法来操作多种数据库系统,包括 MySQL、PostgreSQL、SQLite、Oracle、Microsoft SQL Server、IBM DB2 以及 Sybase 等。
CVE-2025-46337 漏洞系本次公开的一个 SQL 注入问题,该漏洞藏匿于 ADOdb 库的 PostgreSQL 驱动程序中。当程序使用 ADOdb 连接 PostgreSQL 数据库,且开发者在调用 pg_insert_id() 函数时,若将未经处理的用户输入作为参数传入,并且没有进行必要的转义处理,那么就可能激活 CVE-2025-46337 漏洞。这样一来,黑客便有可能远程执行任意的 SQL 命令。
据消息,这一缺陷波及了多款 PostgreSQL 驱动软件的多个版本,例如:postgres64、postgres7、postgres8 以及 postgres9。官方指出,在最恶劣的情形下,黑客能够完全掌控 SQL 的执行过程,从而实现数据的窃取或删除,甚至能够在远程执行恶意程序。为此,官方敦促开发者务必尽快将系统升级至 ADOdb v5.22.9 版本以应对这一安全问题。IT之家已经提供了相关项目的 GitHub 页面链接,详情请见()。
IT之家观察到,该漏洞是由安全专家Marco Napp所披露的。Marco Napp原本是一名黑盒渗透测试的专业人士,最近为了提升对白盒测试的掌握,他开始采用静态应用安全测试(SAST)技术。他利用SonarQube这一静态代码分析工具,对海外高校普遍使用的Moodle开源软件和一款名为“VtigerCRM”的客户关系管理软件进行了细致的扫描。
最终,Marco Napp 在两项任务中均揭露了相似的SQL注入缺陷,继而对这些问题进行了深入探究,发现这些缺陷根源在于它们共用的 ADOdb 组件。因此,Marco Napp 决定向官方提交了相关的漏洞报告。
广告声明:文章中嵌入的各类外部链接(诸如超链接、二维码、密码等),旨在提供更多资讯,以减少筛选所需时间,所提供信息仅供参考。IT之家发布的所有文章均包含此声明。
