5 月 5 日消息，PHP 開源項目 ADOdb 于上周推出 v5.22.9 版本。該版本著重修復了一項極為嚴重的安全漏洞 ——CVE-2025-46337，其 CVSS 風險評分達到滿分 10 分。官方指出，該漏洞 “可能波及全球 280 萬個已安裝 ADOdb 的環(huán)境”，影響范圍廣泛，情況不容樂觀 。

作為廣受歡迎的 PHP 數(shù)據(jù)庫抽象層組件，ADOdb 憑借統(tǒng)一的 API 接口，為開發(fā)者提供了極大便利。借助它，開發(fā)者能夠以相同的語法訪問多種類型的數(shù)據(jù)庫，涵蓋 MySQL、PostgreSQL、SQLite、Oracle、Microsoft SQL Server、IBM DB2 以及 Sybase 等，在數(shù)據(jù)庫交互開發(fā)中發(fā)揮著重要作用。

此次曝光的 CVE-2025-46337 屬于 SQL 注入漏洞，存在于 ADOdb 庫的 PostgreSQL 驅動中。當程序通過 ADOdb 連接 PostgreSQL 數(shù)據(jù)庫時，若開發(fā)者調(diào)用 pg_insert_id () 函數(shù)，并傳入未經(jīng)處理的用戶輸入，且未進行恰當?shù)霓D義操作，便會觸發(fā)該漏洞。屆時，黑客將得以遠程執(zhí)行任意 SQL 命令，嚴重威脅數(shù)據(jù)安全。

該漏洞的影響范圍涉及多個 PostgreSQL 驅動版本，包括 postgres64、postgres7、postgres8 和 postgres9。據(jù)官方表示，在最糟糕的情形下，黑客甚至能夠完全掌控 SQL 執(zhí)行流程，進而竊取、刪除數(shù)據(jù)，甚至遠程運行惡意代碼。因此，官方強烈督促開發(fā)者盡快將 ADOdb 升級至 v5.22.9 版本，以消除安全隱患。項目 GitHub 頁面鏈接為（https://github.com/ADOdb/ADOdb/releases），用戶可前往獲取最新版本。

值得一提的是，這一漏洞由安全研究人員 Marco Napp 發(fā)現(xiàn)并提交。Marco Napp 原本專注于黑盒滲透測試，近期為深入理解白盒測試，他采用靜態(tài)應用安全測試（Static Application Security Testing）方法，利用 SonarQube 靜態(tài)代碼分析工具，對海外高校網(wǎng)站常用的 Moodle 開源項目以及 “VtigerCRM” 客戶關系管理系統(tǒng)展開掃描。

在掃描過程中，Marco Napp 在這兩個項目中均發(fā)現(xiàn)了相同的 SQL 注入漏洞。經(jīng)過進一步調(diào)查，他確定這些漏洞源于兩個項目共同依賴的 ADOdb 組件，隨后便向官方報告了這一重要安全隱患。此次事件再次凸顯了開源項目安全維護的重要性，也提醒開發(fā)者及時關注組件更新，確保系統(tǒng)安全。