PHP 开源项目 ADOdb 曝 CVSS 满分 SQL 注入漏洞，官方督促用户升级至 5.22.9 版本解决_科技快讯

上周，PHP开源项目ADOdb发布了v5.22.9版本，主要修复了一项CVSS风险评分高达10分的严重安全漏洞CVE-2025-46337。该漏洞可能影响全球280万个已安装ADOdb的环境。ADOdb是一个广受欢迎的PHP数据库抽象层组件，它提供统一的API接口，使开发者可以使用相同的语法访问不同类型的数据库。本次披露的CVE-2025-46337是一个SQL注入漏洞，存在于ADOdb库的PostgreSQL驱动中。如果程序在通过ADOdb连接PostgreSQL数据库时，开发者调用pg_insert_id()函数并传入了未经处理的用户输入，同时并未进行适当的转义，就可能触发该漏洞，从而允许黑客远程执行任意SQL命令。该漏洞影响多个PostgreSQL驱动版本，官方称“黑客可完全控制SQL执行流程，窃取或删除数据，甚至远程执行恶意代码”。官方敦促开发者尽快升级至ADOdb v5.22.9版本以解决相应问题。据介绍，这次的安全漏洞是由安全研究人员Marco Napp提交的。Marco Napp原本是一位从事黑盒渗透测试的人员，为了加深对白盒测试的理解，他开始尝试使用静态应用安全测试（Static Application Security Testing）方法，借助SonarQube静态代码分析工具，对海外高校网站常用的Moodle开源项目和一款VtigerCRM客户关系管理系统进行扫描。在两个项目中，他均发现了相同的SQL注入漏洞。经过进一步调查，他发现这些漏洞实际上来源于它们共同依赖的ADOdb组件。因此，他向官方提报了相应漏洞。请注意，