5 月 5 日消息，PHP 開(kāi)源項(xiàng)目 ADOdb 于上周推出 v5.22.9 版本。該版本著重修復(fù)了一項(xiàng)極為嚴(yán)重的安全漏洞 ——CVE-2025-46337，其 CVSS 風(fēng)險(xiǎn)評(píng)分達(dá)到滿(mǎn)分 10 分。官方指出，該漏洞 “可能波及全球 280 萬(wàn)個(gè)已安裝 ADOdb 的環(huán)境”，影響范圍廣泛，情況不容樂(lè)觀 。

作為廣受歡迎的 PHP 數(shù)據(jù)庫(kù)抽象層組件，ADOdb 憑借統(tǒng)一的 API 接口，為開(kāi)發(fā)者提供了極大便利。借助它，開(kāi)發(fā)者能夠以相同的語(yǔ)法訪問(wèn)多種類(lèi)型的數(shù)據(jù)庫(kù)，涵蓋 MySQL、PostgreSQL、SQLite、Oracle、Microsoft SQL Server、IBM DB2 以及 Sybase 等，在數(shù)據(jù)庫(kù)交互開(kāi)發(fā)中發(fā)揮著重要作用。

此次曝光的 CVE-2025-46337 屬于 SQL 注入漏洞，存在于 ADOdb 庫(kù)的 PostgreSQL 驅(qū)動(dòng)中。當(dāng)程序通過(guò) ADOdb 連接 PostgreSQL 數(shù)據(jù)庫(kù)時(shí)，若開(kāi)發(fā)者調(diào)用 pg_insert_id () 函數(shù)，并傳入未經(jīng)處理的用戶(hù)輸入，且未進(jìn)行恰當(dāng)?shù)霓D(zhuǎn)義操作，便會(huì)觸發(fā)該漏洞。屆時(shí)，黑客將得以遠(yuǎn)程執(zhí)行任意 SQL 命令，嚴(yán)重威脅數(shù)據(jù)安全。

該漏洞的影響范圍涉及多個(gè) PostgreSQL 驅(qū)動(dòng)版本，包括 postgres64、postgres7、postgres8 和 postgres9。據(jù)官方表示，在最糟糕的情形下，黑客甚至能夠完全掌控 SQL 執(zhí)行流程，進(jìn)而竊取、刪除數(shù)據(jù)，甚至遠(yuǎn)程運(yùn)行惡意代碼。因此，官方強(qiáng)烈督促開(kāi)發(fā)者盡快將 ADOdb 升級(jí)至 v5.22.9 版本，以消除安全隱患。項(xiàng)目 GitHub 頁(yè)面鏈接為（https://github.com/ADOdb/ADOdb/releases），用戶(hù)可前往獲取最新版本。

值得一提的是，這一漏洞由安全研究人員 Marco Napp 發(fā)現(xiàn)并提交。Marco Napp 原本專(zhuān)注于黑盒滲透測(cè)試，近期為深入理解白盒測(cè)試，他采用靜態(tài)應(yīng)用安全測(cè)試（Static Application Security Testing）方法，利用 SonarQube 靜態(tài)代碼分析工具，對(duì)海外高校網(wǎng)站常用的 Moodle 開(kāi)源項(xiàng)目以及 “VtigerCRM” 客戶(hù)關(guān)系管理系統(tǒng)展開(kāi)掃描。

在掃描過(guò)程中，Marco Napp 在這兩個(gè)項(xiàng)目中均發(fā)現(xiàn)了相同的 SQL 注入漏洞。經(jīng)過(guò)進(jìn)一步調(diào)查，他確定這些漏洞源于兩個(gè)項(xiàng)目共同依賴(lài)的 ADOdb 組件，隨后便向官方報(bào)告了這一重要安全隱患。此次事件再次凸顯了開(kāi)源項(xiàng)目安全維護(hù)的重要性，也提醒開(kāi)發(fā)者及時(shí)關(guān)注組件更新，確保系統(tǒng)安全。