PHP 開源項目 ADOdb 最近發(fā)布了新版本 v5.22.9，專注于解決一個極為嚴重的安全漏洞，CVE-2025-46337。據(jù)官方透露，這一漏洞的 CVSS 風(fēng)險評分高達 10 分，意味著其潛在危害極大，可能影響全球范圍內(nèi)高達 280 萬個已部署 ADOdb 的環(huán)境。

ADOdb 是一個深受開發(fā)者喜愛的 PHP 數(shù)據(jù)庫抽象層組件，通過提供統(tǒng)一的 API 接口，使得開發(fā)者能夠使用相同的語法操作多種數(shù)據(jù)庫系統(tǒng)，包括 MySQL、PostgreSQL、SQLite、Oracle、Microsoft SQL Server、IBM DB2 和 Sybase 等。這一特性大大簡化了跨數(shù)據(jù)庫開發(fā)的復(fù)雜性。

CVE-2025-46337 是一個 SQL 注入漏洞，具體存在于 ADOdb 庫的 PostgreSQL 驅(qū)動中。當開發(fā)者通過 ADOdb 連接 PostgreSQL 數(shù)據(jù)庫，并調(diào)用 pg_insert_id 函數(shù)時，如果傳入了未經(jīng)適當處理的用戶輸入且未進行必要的轉(zhuǎn)義，就可能觸發(fā)該漏洞。這將允許攻擊者遠程執(zhí)行任意 SQL 命令，對數(shù)據(jù)庫安全構(gòu)成重大威脅。

該漏洞波及多個 PostgreSQL 驅(qū)動版本，包括 postgres64、postgres7、postgres8 和 postgres9。在最糟糕的情況下，黑客可以完全控制 SQL 執(zhí)行流程，竊取或刪除敏感數(shù)據(jù)，甚至遠程執(zhí)行惡意代碼。因此，ADOdb 官方強烈建議開發(fā)者盡快升級至 v5.22.9 版本，以消除這一安全隱患。ADOdb 的 GitHub 發(fā)布頁面提供了升級所需的詳細信息。

有趣的是，這一漏洞的發(fā)現(xiàn)者 Marco Napp 原本是一名專注于黑盒滲透測試的安全研究人員。為了更深入地理解白盒測試，他開始嘗試使用 SonarQube 靜態(tài)代碼分析工具，對 Moodle 開源項目和 VtigerCRM 客戶關(guān)系管理系統(tǒng)進行掃描。令人驚訝的是，在兩個項目中都發(fā)現(xiàn)了相同的 SQL 注入漏洞。

Marco Napp 隨后進行了深入調(diào)查，發(fā)現(xiàn)這些漏洞的根源在于它們共同依賴的 ADOdb 組件。于是，他迅速向 ADOdb 官方報告了這一發(fā)現(xiàn)。這一行動不僅體現(xiàn)了 Marco Napp 的專業(yè)素養(yǎng)，也再次證明了靜態(tài)應(yīng)用安全測試在發(fā)現(xiàn)潛在安全漏洞方面的重要性。

此次事件再次提醒廣大開發(fā)者，保持開源組件的及時更新和安全維護至關(guān)重要。通過及時修復(fù)已知漏洞，可以有效降低系統(tǒng)遭受攻擊的風(fēng)險，保障數(shù)據(jù)安全和業(yè)務(wù)穩(wěn)定運行。