亚洲精品www久久久久久,亚洲欧美国产精品久久久久久久 ,尤物在线精品视频

PHP 開源項目 ADOdb 曝 CVSS 滿分 SQL 注入漏洞，官方督促用戶升級至 5.22.9 版本解決

2025-05-06 18:20:36 小編：鑫昌軟件園

本站 5 月 5 日消息，PHP 開源項目 ADOdb 于上周發(fā)布了 v5.22.9 版本，該版本主要修復(fù)一項 CVSS 風(fēng)險評分高達(dá) 10 分（滿分）的嚴(yán)重安全漏洞 CVE-2025-46337，官方透露該漏洞“可能影響全球 280 萬個已安裝 ADOdb 的環(huán)境”。

據(jù)介紹，ADOdb 是一個廣受歡迎的 PHP 數(shù)據(jù)庫抽象層組件，它提供統(tǒng)一的 API 接口，使開發(fā)者可以使用相同的語法訪問不同類型的數(shù)據(jù)庫，支持 MySQL、PostgreSQL、SQLite、Oracle、Microsoft SQL Server、IBM DB2 和 Sybase 等多種數(shù)據(jù)庫。

本次披露的 CVE-2025-46337 是一個 SQL 注入漏洞，存在于 ADOdb 庫的 PostgreSQL 驅(qū)動中，若程序在通過 ADOdb 連接 PostgreSQL 數(shù)據(jù)庫時，開發(fā)者調(diào)用 pg_insert_id () 函數(shù)并傳入了未經(jīng)處理的用戶輸入，同時并未進行適當(dāng)?shù)霓D(zhuǎn)義，就可能觸發(fā) CVE-2025-46337 漏洞，從而允許黑客遠(yuǎn)程執(zhí)行任意 SQL 命令。

據(jù)悉，該漏洞影響多個 PostgreSQL 驅(qū)動版本，包括 postgres64、postgres7、postgres8 和 postgres9。官方稱“在最嚴(yán)重的情況下，黑客可完全控制 SQL 執(zhí)行流程，竊取或刪除數(shù)據(jù)，甚至遠(yuǎn)程執(zhí)行惡意代碼”，督促開發(fā)者盡快升級至 ADOdb v5.22.9 版本以解決相應(yīng)問題，本站附項目 GitHub 頁面如下（https://github.com/ADOdb/ADOdb/releases）。

本站注意到，相應(yīng)漏洞由安全研究人員 Marco Napp 提交，這位“Marco Napp”原本是一位從事黑盒滲透測試的人員，近期為了加深對白盒測試的理解，他開始嘗試使用靜態(tài)應(yīng)用安全測試（Static Application Security Testing）方法，借助 SonarQube 靜態(tài)代碼分析工具，對海外高校網(wǎng)站常用的 Moodle 開源項目和一款“VtigerCRM”客戶關(guān)系管理系統(tǒng)進行掃描。

結(jié)果，Marco Napp 在兩個項目中均發(fā)現(xiàn)了相同的 SQL 注入漏洞，后續(xù) Marco Napp 進一步調(diào)查，發(fā)現(xiàn)這些漏洞其實來源于它們共同依賴的 ADOdb 組件，于是 Marco Napp 便向官方提報了相應(yīng)漏洞。