PHP 開源項目 ADOdb 最近發布了新版本 v5.22.9,專注于解決一個極為嚴重的安全漏洞,CVE-2025-46337。據官方透露,這一漏洞的 CVSS 風險評分高達 10 分,意味著其潛在危害極大,可能影響全球范圍內高達 280 萬個已部署 ADOdb 的環境。
ADOdb 是一個深受開發者喜愛的 PHP 數據庫抽象層組件,通過提供統一的 API 接口,使得開發者能夠使用相同的語法操作多種數據庫系統,包括 MySQL、PostgreSQL、SQLite、Oracle、Microsoft SQL Server、IBM DB2 和 Sybase 等。這一特性大大簡化了跨數據庫開發的復雜性。
CVE-2025-46337 是一個 SQL 注入漏洞,具體存在于 ADOdb 庫的 PostgreSQL 驅動中。當開發者通過 ADOdb 連接 PostgreSQL 數據庫,并調用 pg_insert_id 函數時,如果傳入了未經適當處理的用戶輸入且未進行必要的轉義,就可能觸發該漏洞。這將允許攻擊者遠程執行任意 SQL 命令,對數據庫安全構成重大威脅。
該漏洞波及多個 PostgreSQL 驅動版本,包括 postgres64、postgres7、postgres8 和 postgres9。在最糟糕的情況下,黑客可以完全控制 SQL 執行流程,竊取或刪除敏感數據,甚至遠程執行惡意代碼。因此,ADOdb 官方強烈建議開發者盡快升級至 v5.22.9 版本,以消除這一安全隱患。ADOdb 的 GitHub 發布頁面提供了升級所需的詳細信息。
有趣的是,這一漏洞的發現者 Marco Napp 原本是一名專注于黑盒滲透測試的安全研究人員。為了更深入地理解白盒測試,他開始嘗試使用 SonarQube 靜態代碼分析工具,對 Moodle 開源項目和 VtigerCRM 客戶關系管理系統進行掃描。令人驚訝的是,在兩個項目中都發現了相同的 SQL 注入漏洞。
Marco Napp 隨后進行了深入調查,發現這些漏洞的根源在于它們共同依賴的 ADOdb 組件。于是,他迅速向 ADOdb 官方報告了這一發現。這一行動不僅體現了 Marco Napp 的專業素養,也再次證明了靜態應用安全測試在發現潛在安全漏洞方面的重要性。
此次事件再次提醒廣大開發者,保持開源組件的及時更新和安全維護至關重要。通過及時修復已知漏洞,可以有效降低系統遭受攻擊的風險,保障數據安全和業務穩定運行。
