PHP开源项目ADOdb发布v5.22.9版本，修复了一个CVSS风险评分高达10分的严重SQL注入漏洞CVE-2025-46337，该漏洞存在于ADOdb库的PostgreSQL驱动中，可能影响全球280万个已安装ADOdb的环境。攻击者可以通过pg_insert_id()函数传入未经处理的用户输入，远程执行任意SQL命令，窃取或删除数据，甚至执行恶意代码。官方建议开发者尽快升级至最新版本以修复此问题。该漏洞由安全研究人员Marco Napp发现，他通过静态代码分析工具在多个项目中发现了相同的漏洞，最终溯源到ADOdb组件。

🔑ADOdb是一个广受欢迎的PHP数据库抽象层组件，为开发者提供统一的API接口，支持多种数据库，包括MySQL、PostgreSQL、SQLite、Oracle等。

🚨CVE-2025-46337是一个SQL注入漏洞，存在于ADOdb库的PostgreSQL驱动中，影响多个PostgreSQL驱动版本，如postgres64、postgres7、postgres8和postgres9。

👨‍💻安全研究人员Marco Napp通过静态应用安全测试（SAST）方法，借助SonarQube静态代码分析工具，在Moodle和VtigerCRM项目中发现了该漏洞，这些项目均依赖于ADOdb组件。

🛡️官方建议开发者尽快升级至ADOdb v5.22.9版本，以解决CVE-2025-46337漏洞，防止黑客利用该漏洞进行攻击。

IT之家 5 月 5 日消息，PHP 开源项目 ADOdb 于上周发布了 v5.22.9 版本，该版本主要修复一项 CVSS 风险评分高达 10 分（满分）的严重安全漏洞 CVE-2025-46337，官方透露该漏洞“可能影响全球 280 万个已安装 ADOdb 的环境”。

据介绍，ADOdb 是一个广受欢迎的 PHP 数据库抽象层组件，它提供统一的 API 接口，使开发者可以使用相同的语法访问不同类型的数据库，支持 MySQL、PostgreSQL、SQLite、Oracle、Microsoft SQL Server、IBM DB2 和 Sybase 等多种数据库。

本次披露的 CVE-2025-46337 是一个 SQL 注入漏洞，存在于 ADOdb 库的 PostgreSQL 驱动中，若程序在通过 ADOdb 连接 PostgreSQL 数据库时，开发者调用 pg_insert_id () 函数并传入了未经处理的用户输入，同时并未进行适当的转义，就可能触发 CVE-2025-46337 漏洞，从而允许黑客远程执行任意 SQL 命令。

据悉，该漏洞影响多个 PostgreSQL 驱动版本，包括 postgres64、postgres7、postgres8 和 postgres9。官方称“在最严重的情况下，黑客可完全控制 SQL 执行流程，窃取或删除数据，甚至远程执行恶意代码”，督促开发者尽快升级至 ADOdb v5.22.9 版本以解决相应问题，IT之家附项目 GitHub 页面如下（https://github.com/ADOdb/ADOdb/releases）。

IT之家注意到，相应漏洞由安全研究人员 Marco Napp 提交，这位“Marco Napp”原本是一位从事黑盒渗透测试的人员，近期为了加深对白盒测试的理解，他开始尝试使用静态应用安全测试（Static Application Security Testing）方法，借助 SonarQube 静态代码分析工具，对海外高校网站常用的 Moodle 开源项目和一款“VtigerCRM”客户关系管理系统进行扫描。

结果，Marco Napp 在两个项目中均发现了相同的 SQL 注入漏洞，后续 Marco Napp 进一步调查，发现这些漏洞其实来源于它们共同依赖的 ADOdb 组件，于是 Marco Napp 便向官方提报了相应漏洞。