5月5日,IT之家报道,PHP开源库ADOdb近期推出了v5.22.9版本,此版本着重解决了CVSS风险评分为10分(最高分)的严重安全缺陷CVE-2025-46337。据官方信息,这一漏洞有可能对全球280万个已部署ADOdb的环境造成影响。
据相关介绍,ADOdb 是一款备受欢迎的 PHP 数据库抽象层工具,它具备统一的 API 接口功能,允许开发者运用一致的语法来操作多种数据库系统,包括 MySQL、PostgreSQL、SQLite、Oracle、Microsoft SQL Server、IBM DB2 以及 Sybase 等。
CVE-2025-46337漏洞系本次公开的信息,该漏洞为SQL注入类型,藏匿于ADOdb库的PostgreSQL模块。当程序使用ADOdb与PostgreSQL数据库建立连接kaiyun.ccm,且开发者在调用pg_insert_id()函数时云开·全站体育app登录,若未对用户输入进行妥善处理,也未实施适当的转义措施,便可能激活CVE-2025-46337漏洞。此漏洞一旦被激活,黑客便能够远程执行任意的SQL指令。
据消息,这一缺陷波及了多个PostgreSQL驱动版本的运行,涵盖了postgres64、postgres7、postgres8以及postgres9等。官方指出,在极端情况下,黑客能够全面掌控 SQL 执行过程,进而实现数据的窃取或销毁,甚至能够在远程执行有害代码。为此,官方敦促开发者迅速将软件升级到 ADOdb v5.22.9 版本以修复相关问题。IT之家提供了相应的项目 GitHub 页面链接,详情请见(https://github.com/ADOdb/ADOdb/releases)。
IT之家观察到,这一漏洞是由安全专家Marco Napp所披露的。 Marco Napp原本是一名专注于黑盒渗透测试的从业者,最近他为了更深入地掌握白盒测试的精髓kaiyun全站网页版登录,开始尝试运用静态应用安全测试(Static Application Security Testing)技术。在这个过程中,他利用了SonarQube这一静态代码分析工具,对海外多所高校普遍使用的Moodle开源项目以及一款名为“VtigerCRM”的客户关系管理系统进行了细致的扫描。
最终,Marco Napp 在两项任务中均揭露了同样的SQL注入缺陷,随后他深入探究,揭示这些缺陷实际上源自它们共用的 ADOdb 组件,因此 Marco Napp 决定向官方提交了相关的漏洞报告。
