php unicode utf8 PHP ADOdb v5.22.9 安全漏洞修复 _PHP 开源项目 ADOdb 曝 CVSS 满分 SQL 注入漏洞，官方督促用户升级至 5.22.9 版本解决

5月5日，IT之家报道，PHP开源库ADOdb在上周推出了v5.22.9版本。此次更新着重解决了CVSS风险评分为10分（最高分）的严重安全缺陷CVE-2025-46337。据官方信息，此漏洞可能对全球280万个已部署ADOdb的环境构成威胁。

据相关介绍，ADOdb 是一款备受欢迎的 PHP 数据库抽象层组件，该组件提供了一致的 API 接口，允许开发者运用相同的编程语言访问多种数据库系统，包括但不限于 MySQL、、SQL 、IBM DB2 以及 等。

CVE-2025-46337 是一个SQL注入缺陷，该缺陷藏匿于 ADOdb 库的驱动模块中。当程序使用 ADOdb 连接数据库时，若开发者在调用特定函数时，将未经处理的用户输入作为参数传递，且未对输入数据进行适当的转义处理，那么就可能激活 CVE-2025-46337 漏洞。这样一来，黑客便有可能远程执行任意的SQL指令。

据消息，此缺陷波及众多驱动软件版本，诸如 、 、 以及 。官方指出，在极端情况下，黑客能够全面掌控 SQL 执行过程，进而窃取或抹除数据，甚至远程执行有害代码。因此，官方敦促开发者及时更新至 ADOdb v5.22.9 版本以消除这些问题，IT之家提供的项目页面信息如下（）。

IT之家观察到，这一漏洞是由安全专家Marco Napp所报告的。Marco Napp原本是一名专注于黑盒渗透测试的专业人士，最近为了提升对白盒测试的掌握，他开始尝试运用静态应用安全测试技术。他利用静态代码分析工具，对海外高校网站中广泛使用的开源项目以及一款名为“”的客户关系管理系统进行了深入的扫描分析。

最终，Marco Napp 在两项任务中均揭露了同样的SQL注入缺陷，随后他进行了深入探究，揭示这些缺陷实际上源自它们共用的ADOdb组件，因此Marco Napp决定向官方提交了相关的漏洞报告。