PHPのDB接続ライブラリ「ADOdb」のPostgreSQLドライバに深刻な脆弱性

PHP環境においてデータベースへアクセスする機能を提供するクラスライブラリ「ADOdb」に深刻な脆弱性が明らかとなった。「PostgreSQL」を利用している場合に影響があり、アップデートが提供されている。

同ライブラリのPostgreSQL用ドライバにSQLインジェクションが可能となる脆弱性「CVE-2025-46337」が判明したもの。

引数としてわたされる一部パラメータを適切にエスケープ処理しておらず、任意のSQL文を実行されるおそれがあるという。

CVE番号を採番したGitHubでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを最高値である「10.0」と評価。重要度を4段階中もっとも高い「クリティカル（Critical）」とレーティングしている。

開発チームでは、脆弱性を修正した「ADOdb 5.22.9」を現地時間5月1日にリリースした。同バージョンでは、「SQLite3」のドライバや「PHP 8.2」との互換性に関するバグなども修正したとしている。

（Security NEXT - 2025/05/07 ） ツイート

PR

関連記事

NVIDIAのAI基盤「HGX」「DGX」に権限昇格の脆弱性 - 修正版リリース
Java環境向けテンプレートエンジン「jinjava」に深刻な脆弱性
「MS Edge」にアップデート - ゼロデイ脆弱性を解消
Fortraのファイル転送ソフト「GoAnywhere MFT」に深刻な脆弱性
Samsung、モバイル端末の複数脆弱性を修正 - 一部で悪用も
Atlassian、8月のアップデートで脆弱性5件に対処
「HPE Aruba EdgeConnect SD-WAN」に脆弱性 - アップデートを公開
Wondershareのファイル修復ソフトに脆弱性 - パッチ提供状況は不明
Android版「MS Edge」にアップデート - 独自修正も
「Ivanti EPMM」狙う脆弱性連鎖攻撃、米当局がマルウェアを解析