PHP 開源項目 ADOdb 最近發(fā)布了新版本 v5.22.9，專注于解決一個極為嚴重的安全漏洞，CVE-2025-46337。據官方透露，這一漏洞的 CVSS 風險評分高達 10 分，意味著其潛在危害極大，可能影響全球范圍內高達 280 萬個已部署 ADOdb 的環(huán)境。

ADOdb 是一個深受開發(fā)者喜愛的 PHP 數據庫抽象層組件，通過提供統(tǒng)一的 API 接口，使得開發(fā)者能夠使用相同的語法操作多種數據庫系統(tǒng)，包括 MySQL、PostgreSQL、SQLite、Oracle、Microsoft SQL Server、IBM DB2 和 Sybase 等。這一特性大大簡化了跨數據庫開發(fā)的復雜性。

CVE-2025-46337 是一個 SQL 注入漏洞，具體存在于 ADOdb 庫的 PostgreSQL 驅動中。當開發(fā)者通過 ADOdb 連接 PostgreSQL 數據庫，并調用 pg_insert_id 函數時，如果傳入了未經適當處理的用戶輸入且未進行必要的轉義，就可能觸發(fā)該漏洞。這將允許攻擊者遠程執(zhí)行任意 SQL 命令，對數據庫安全構成重大威脅。

該漏洞波及多個 PostgreSQL 驅動版本，包括 postgres64、postgres7、postgres8 和 postgres9。在最糟糕的情況下，黑客可以完全控制 SQL 執(zhí)行流程，竊取或刪除敏感數據，甚至遠程執(zhí)行惡意代碼。因此，ADOdb 官方強烈建議開發(fā)者盡快升級至 v5.22.9 版本，以消除這一安全隱患。ADOdb 的 GitHub 發(fā)布頁面提供了升級所需的詳細信息。

有趣的是，這一漏洞的發(fā)現者 Marco Napp 原本是一名專注于黑盒滲透測試的安全研究人員。為了更深入地理解白盒測試，他開始嘗試使用 SonarQube 靜態(tài)代碼分析工具，對 Moodle 開源項目和 VtigerCRM 客戶關系管理系統(tǒng)進行掃描。令人驚訝的是，在兩個項目中都發(fā)現了相同的 SQL 注入漏洞。

Marco Napp 隨后進行了深入調查，發(fā)現這些漏洞的根源在于它們共同依賴的 ADOdb 組件。于是，他迅速向 ADOdb 官方報告了這一發(fā)現。這一行動不僅體現了 Marco Napp 的專業(yè)素養(yǎng)，也再次證明了靜態(tài)應用安全測試在發(fā)現潛在安全漏洞方面的重要性。

此次事件再次提醒廣大開發(fā)者，保持開源組件的及時更新和安全維護至關重要。通過及時修復已知漏洞，可以有效降低系統(tǒng)遭受攻擊的風險，保障數據安全和業(yè)務穩(wěn)定運行。