PHP開源專案ADOdb上周釋出v5.22.9,以修補一個CVSS風險評分等級高達10分的安全漏洞CVE-2025-46337,該漏洞恐危及全球280萬已安裝ADOdb的系統。
ADOdb是個熱門的PHP資料庫抽象層,它提供一個統一的API介面,讓開發人員得以利用相同的語法來操作不同類型的資料庫,相容於MySQL、PostgreSQL、SQLite、Oracle、Microsoft SQL Server、IBM DB2及Sybase等資料庫,而這次所發現的CVE-2025-46337是個SQL注入漏洞,出現在ADOdb程式庫的PostgreSQL驅動程式中,允許駭客執行任意SQL指令。
這是由安全研究人員Marco Nappi意外發現的漏洞。Nappi說,他一直是位黑盒滲透測試人員,最近想要強化對白盒的了解,於是開始探索靜態分析安全測試(Static Analysis Security Testing,SAST),並決定利用靜態程式碼分析工具SonarQube來分析用來建置大學網站的開源專案Moodle,以及同樣也是開源的客戶關係管理專案VtigerCRM。
沒想到SonarQube不管是在Moodle或VtigerCRM專案上都找到了SQL注入漏洞,進一步檢查才發現該漏洞其實隱藏在ADOdb資料夾中。
當程式使用ADOdb連結到PostgreSQL資料庫時,如果開發人員在呼叫pg_insert_id() 函數時,使用了用戶所提供的資料,卻沒有正確地轉義處理,便可能觸發CVE-2025-46337漏洞,允許駭客執行任意SQL指令。
該漏洞影響多個PostgreSQL驅動程式,包括postgres64、postgres7、postgres8及postgres9。在最危險的場景中,駭客將可完全控制SQL執行,竊取或刪除資料,甚至自遠端執行程式碼。
熱門新聞
2025-05-22
2025-05-19
2025-05-19
2025-05-19
2025-05-20
2025-05-20
2025-05-20