PHP开源专案ADOdb上周释出v5.22.9，以修补一个CVSS风险评分等级高达10分的安全漏洞CVE-2025-46337，该漏洞恐危及全球280万已安装ADOdb的系统。

ADOdb是个热门的PHP资料库抽象层，它提供一个统一的API介面，让开发人员得以利用相同的语法来操作不同类型的资料库，相容于MySQL、PostgreSQL、SQLite、Oracle、Microsoft SQL Server、IBM DB2及Sybase等资料库，而这次所发现的CVE-2025-46337是个SQL注入漏洞，出现在ADOdb程序库的PostgreSQL驱动程序中，允许骇客执行任意SQL指令。

这是由安全研究人员Marco Nappi意外发现的漏洞。Nappi说，他一直是位黑盒渗透测试人员，最近想要强化对白盒的了解，于是开始探索静态分析安全测试（Static Analysis Security Testing，SAST），并决定利用静态程序码分析工具SonarQube来分析用来建置大学网站的开源专案Moodle，以及同样也是开源的客户关係管理专案VtigerCRM。

没想到SonarQube不管是在Moodle或VtigerCRM专案上都找到了SQL注入漏洞，进一步检查才发现该漏洞其实隐藏在ADOdb资料夹中。

当程序使用ADOdb连结到PostgreSQL资料库时，如果开发人员在呼叫pg_insert_id() 函数时，使用了用户所提供的资料，却没有正确地转义处理，便可能触发CVE-2025-46337漏洞，允许骇客执行任意SQL指令。

该漏洞影响多个PostgreSQL驱动程序，包括postgres64、postgres7、postgres8及postgres9。在最危险的场景中，骇客将可完全控制SQL执行，窃取或删除资料，甚至自远端执行程序码。