一、 漏洞 CVE-2025-46337 基础信息
漏洞信息
                                        # ADODB Postgresql驱动中pg_insert_id()函数的 sql注入问题

## 漏洞概述
ADOdb是PHP数据库类库,用于执行查询和管理数据库。在5.22.9版本之前,查询参数的不当转义可能导致攻击者执行任意SQL语句。

## 影响版本
- ADOdb 5.22.9版本之前的所有版本

## 漏洞细节
当使用ADOdb连接到PostgreSQL数据库并使用`pg_insert_id()`函数处理用户提供的数据时,如查询参数未正确转义,攻击者可能利用此漏洞执行任意SQL语句。

## 漏洞影响
攻击者可能通过提供恶意数据,在连接PostgreSQL数据库时执行任意SQL命令,从而可能导致数据泄露、篡改或其他恶意操作。这一问题已在5.22.9版本中修复。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
SQL injection in ADOdb PostgreSQL driver pg_insert_id() method
来源:美国国家漏洞数据库 NVD
漏洞描述信息
ADOdb is a PHP database class library that provides abstractions for performing queries and managing databases. Prior to version 5.22.9, improper escaping of a query parameter may allow an attacker to execute arbitrary SQL statements when the code using ADOdb connects to a PostgreSQL database and calls pg_insert_id() with user-supplied data. This issue has been patched in version 5.22.9.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
ADOdb 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
ADOdb是ADOdb开源的一个PHP数据库类库。 ADOdb 5.22.9之前版本存在安全漏洞,该漏洞源于查询参数转义不当,可能导致SQL注入攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-46337 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-46337 的情报信息