百度360必应搜狗淘宝本站头条
外键约束 oraclephp简单源码宏程序代码一览表唯一索引 oraclecss教程文字移动
当前位置:网站首页 > 技术资源 > 正文

PHP开源项目ADOdb曝CVSS满分SQL注入漏洞

moboyou 2025-07-04 22:25 2 浏览

IT之家 5 月 5 日消息,PHP 开源项目 ADOdb 于上周发布了 v5.22.9 版本,该版本主要修复一项 CVSS 风险评分高达 10 分(满分)的严重安全漏洞 CVE-2025-46337,官方透露该漏洞“可能影响全球 280 万个已安装 ADOdb 的环境”。

据介绍,ADOdb 是一个广受欢迎的 PHP 数据库抽象层组件,它提供统一的 API 接口,使开发者可以使用相同的语法访问不同类型的数据库,支持 MySQL、PostgreSQL、SQLite、Oracle、Microsoft SQL Server、IBM DB2 和 Sybase 等多种数据库。

本次披露的 CVE-2025-46337 是一个 SQL 注入漏洞,存在于 ADOdb 库的 PostgreSQL 驱动中,若程序在通过 ADOdb 连接 PostgreSQL 数据库时,开发者调用 pg_insert_id () 函数并传入了未经处理的用户输入,同时并未进行适当的转义,就可能触发 CVE-2025-46337 漏洞,从而允许黑客远程执行任意 SQL 命令。

据悉,该漏洞影响多个 PostgreSQL 驱动版本,包括 postgres64、postgres7、postgres8 和 postgres9。官方称“在最严重的情况下,黑客可完全控制 SQL 执行流程,窃取或删除数据,甚至远程执行恶意代码”,督促开发者尽快升级至 ADOdb v5.22.9 版本以解决相应问题,IT之家附项目 GitHub 页面如下(https://github.com/ADOdb/ADOdb/releases)。

IT之家注意到,相应漏洞由安全研究人员 Marco Napp 提交,这位“Marco Napp”原本是一位从事黑盒渗透测试的人员,近期为了加深对白盒测试的理解,他开始尝试使用静态应用安全测试(Static Application Security Testing)方法,借助 SonarQube 静态代码分析工具,对海外高校网站常用的 Moodle 开源项目和一款“VtigerCRM”客户关系管理系统进行扫描。

结果,Marco Napp 在两个项目中均发现了相同的 SQL 注入漏洞,后续 Marco Napp 进一步调查,发现这些漏洞其实来源于它们共同依赖的 ADOdb 组件,于是 Marco Napp 便向官方提报了相应漏洞。

相关推荐

【开源推荐】给大家推荐个基于ChatGPT的PHP开发库 openai-php-api

有了这个库大家就可以愉快的使用PHP对接chatGPT的官方接口了,至于对接了官方接口想要做什么就看你自己的啦环境要求PHP7.4或以上composer1.6.5以上支持框架Laravel、Sym...

PHP使用Phar打包控制台程序

1.介绍1.1介绍php脚本有着非常强大的库支持,可以轻松做出特别强大的程序。php不仅仅可以搭建各种各样的网站系统、平台系统,还可以开发基于控制台运行的程序。不过使用php开发的控制台程序在使用...

PHP实现URL编码、Base64编码、MD5编码的方法

1.介绍1.1介绍今天开始福哥要给大家讲解关于字符编码的知识,所谓字符编码就是将一个字符串或者是一个二进制字节数组里面的每一个字符根据一定的规则替换成一个或者多个其他字符的过程。字符编码的意义有很...

雷卯针对易百纳海思Hi3521D开发板防雷防静电方案

一、应用场景1、医疗电子2、安防监控3、数字标牌4、视频广告5、环境监测二、功能概述1CPU:ARMCortexA7双核@Max.1.3GHz2H.265/H.264&JPEG多码流编...

不折腾无人生-安卓盒子安装Linux系统armbian纪实

不折腾无人生-安卓盒子安装Linux系统armbian纪实小编的x96max+(晶晨Amlogics905x3)安卓盒子已安装二个系统,原装安卓9.0和tf卡上的CoreELEC9.2.3,可玩性...

全网最简单的玩客云刷casaos方法及后续使用心得

本内容来源于@什么值得买APP,观点仅代表作者本人|作者:不鸣de前几天在站内看见很多值友分享了玩客云刷casaos,被简洁的操作界面种草,于是我将之前刷了powersee大神网页导航版armbia...

最新评测:英特尔旗舰 Alder Lake 处理器击败苹果M1 Max

据国外媒体tomshardware报道,英特尔最新的酷睿i9-12900HK处理器刚刚赢得了移动x86与Arm的性能大战,但这是有代价的。这款移动14核AlderLake芯片在多个工作负...

创维酷开Max系列电视开启ADB并安装第三方应用教程

前言创维酷开系列智能电视采用的是相对封闭的系统,虽然设置中提供了安装未知应用的选项,但由于电视安装位置的限制,往往难以直接使用USB接口安装应用。本文将详细介绍如何通过ADB方式在创维酷开Max系列电...

苹果 Mac Studio,再次刷新我们对个人电脑的认知

由两块M1Max组成的M1Ultra,成为了M1系列的最后一块拼图,并完成了整个M1SoC宇宙。这就好像《复仇者联盟4:终局之战》对于漫威第一阶段,十几年勤恳的布局,最终达到顶峰...

「必买」盘点2021年男人们的败家清单,越“败”越香

心里总想买点啥?看看《必买》,全网最有料的场景种草指南。草原割不尽,春风吹又生。在过去的2021年,不断被各种数码产品种草,一直在买买买,剁手不停。大部分产品都经过详细的对比做足了功课,也有部分是一时...

Opus音频编解码在arm上的移植

一、简介现在有个需求,在局域网内实现实时语音,传输层协议使用UDP协议,如果直接使用ALSA进行录制音频流并发送到另一端进行播放,音质会非常差,而且断断续续,原因如下:采样频率:fm=44.1K...

N ARM MINI空气减震系统臂体安装指南及应用说明

距离MOVMAX移动大师NARMMINI发布已经过去一段时间了,不少收到NARMMINI的小伙伴也已经迅速将产品投入到自己的车拍工作中去了。而在实际工作过程中我们也收到了用户的部分疑问和反馈:...

搜索引擎中的性能怪兽,Elasticsearch挑战者之Manticore Search

ManticoreSearch简介ManticoreSearch是一个使用C++开发的高性能搜索引擎,创建于2017年,其前身是SphinxSearch。ManticoreSe...

10个运维拿来就用的 Shell 脚本,用了才知道有多爽

1、监控MySQL主从同步状态是否异常脚本#!/bin/bashHOST=localhostUSER=rootPASSWD=123.comIO_SQL_STATUS=$(mysql-h$...

PHP7.0.0正式版开放下载:速度大提升

IT之家讯PHP发布经理AnatolBelski在GitHub发布了PHP7.0.0正式版,该版本在速度提升上面有非常大的进步,比5.6版本提速两倍,已经接近Facebook开发的PHP执行引擎...

一周热门
最近发表
标签列表
蜀ICP备2024111239号-28