2025-05-05 23:00:50
据介绍,ADOdb是一个广受欢迎的PHP数据库抽象层组件,它提供统一的API接口,使开发者可以使用相同的语法访问不同类型的数据库,支持MySQL、PostgreSQL、SQLite、Oracle、MicrosoftSQLServer、IBMDB2和Sybase等多种数据库。本次披露的CVE-2025-46337是一个SQL注入漏洞,存在于ADOdb库的PostgreSQL驱动中,若程序在通过ADOdb连接PostgreSQL数据库时,开发者调用pg_insert_id()函数并传入了未经处理的用户输入,同时并未进行适当的转义,就可能触发CVE-2025-46337漏洞,从而允许黑客远程执行任意SQL命令。据悉,该漏洞影响多个PostgreSQL驱动版本,包括postgres64、postgres7、postgres8和postgres9。官方称“在最严重的情况下,黑客可完全控制SQL执行流程,窃取或删除数据,甚至远程执行恶意代码”,督促开发者尽快升级至ADOdbv5.22.9版本以解决相应问题,亚汇网附项目GitHub页面如下(亚汇网注意到,相应漏洞由安全研究人员MarcoNapp提交,这位“MarcoNapp”原本是一位从事黑盒渗透测试的人员,近期为了加深对白盒测试的理解,他开始尝试使用静态应用安全测试(StaticApplicationSecurityTesting)方法,借助SonarQube静态代码分析工具,对海外高校网站常用的Moodle开源项目和一款“VtigerCRM”客户关系管理系统进行扫描。结果,MarcoNapp在两个项目中均发现了相同的SQL注入漏洞,后续MarcoNapp进一步调查,发现这些漏洞其实来源于它们共同依赖的ADOdb组件,于是MarcoNapp便向官方提报了相应漏洞。广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,亚汇网所有文章均包含本声明。
您正在访问亚汇网香港分站,本站所提供的内容均遵守中华人民共和国香港特别行政区法律法规。
