請資安窗口協助轉達教職員,並同時轉知廠商,若有使用PHP ADOdb 程式庫( https://zh.wikipedia.org/zh-tw/ADOdb ) 請務必要進行更新,已發現該PHP程式庫ADOdb存在超高風險滿分漏洞CVE-2025-46337 ( https://www.cvedetails.com/cve/CVE-2025-46337/ ),能讓駭客執行任意SQL指令,非常危險。
================================================
一位資安滲透測試人員,原本只是要研究大學網站所用的開源教學平台Moodle和開源CRM,卻找到了SQL注入漏洞,竟來自安裝了280萬套系統的PHP資料庫抽象層函式庫ADOdb,出現了超高危險的資安漏洞
PHP開源專案ADOdb上周釋出v5.22.9,以修補一個CVSS風險評分等級高達10分的安全漏洞CVE-2025-46337,該漏洞恐危及全球280萬已安裝ADOdb的系統。
ADOdb是個熱門的PHP資料庫抽象層,它提供一個統一的API介面,讓開發人員得以利用相同的語法來操作不同類型的資料庫,相容於MySQL、PostgreSQL、SQLite、Oracle、Microsoft SQL Server、IBM DB2及Sybase等資料庫,而這次所發現的CVE-2025-46337是個SQL注入漏洞,出現在ADOdb程式庫的PostgreSQL驅動程式中,允許駭客執行任意SQL指令。
這是由安全研究人員Marco Nappi意外發現的漏洞。Nappi說,他一直是位黑盒滲透測試人員,最近想要強化對白盒的了解,於是開始探索靜態分析安全測試(Static Analysis Security Testing,SAST),並決定利用靜態程式碼分析工具SonarQube來分析用來建置大學網站的開源專案Moodle,以及同樣也是開源的客戶關係管理專案VtigerCRM。
沒想到SonarQube不管是在Moodle或VtigerCRM專案上都找到了SQL注入漏洞,進一步檢查才發現該漏洞其實隱藏在ADOdb資料夾中。
當程式使用ADOdb連結到PostgreSQL資料庫時,如果開發人員在呼叫pg_insert_id() 函數時,使用了用戶所提供的資料,卻沒有正確地轉義處理,便可能觸發CVE-2025-46337漏洞,允許駭客執行任意SQL指令。
該漏洞影響多個PostgreSQL驅動程式,包括postgres64、postgres7、postgres8及postgres9。在最危險的場景中,駭客將可完全控制SQL執行,竊取或刪除資料,甚至自遠端執行程式碼。
相關新聞:
