Уязвимость в ADOdb, допускающая подстановку SQL-запросов

05.05.2025 08:22

В библиотеке ADOdb, применяемой во многих PHP-проектах для абстрагирования доступа к СУБД и насчитывающей около 3 млн установок из репозитория Packagist, выявлена уязвимость (CVE-2025-46337), позволяющая выполнить подстановку своего SQL-запроса. Проблеме присвоен критический уровень опасности (10 из 10). Уязвимость устранена в выпуске ADOdb 5.22.9.

Уязвимость проявляется при использовании ADOdb вместе с СУБД PostgreSQL в приложениях, вызывающих метод pg_insert_id() и передающих непроверенные внешние данные через параметр $fieldname. Проблема вызвана ошибкой в ADOdb-драйвере к PostgreSQL, связанной с отсутствием должного экранирования спецсимволов в параметрах $tablename и $fieldname, перед их применением в функции pg_insert_id() для формирования имени последовательности.


   $result=pg_query($this->_connectionID, 'SELECT last_value FROM '. $tablename .'_'. $fieldname .'_seq');

исправить +4 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/63186-adodb

Ключевые слова: adodb, php

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (9)

1.1, Аноним (1), 08:47, 05/05/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Насколько я знаю, имена таблиц ни в одной базе не могут быть плейсхолдерами в подготовленных запросах, поэтому добавление контроллируемых удаленной стороной данных в имя таблицы - это верный путь к RCE. Единственное нормальное решение в случае, если это 146% нужно и избежать этого нельзя - это сделать HMAC с секретным ключом.

2.2, Аноним (1), 08:52, 05/05/2025 [^] [^^] [^^^] [ответить]	+/–
P.S. Подготовленные запросы - это фича самой базы, а не обвязки. Но без поддержки фичи в обвязке, разумеется, ничего не выйдет. И обвязка не должна скрывать недостатки самой базы. Если пользователь решает HMACать - то это его решение. В таких случаях может иметь смысл иметь отдельную таблицу, мапящую обратно HMAC на имена.

1.5, Gemorroj (ok), 09:23, 05/05/2025 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
эта либа давно умерла уже. что-то из времен php 3-4

1.8, Аноним (8), 10:25, 05/05/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Админы хостингов, которые обслуживают большинство этих php-проектов итак можут делать с бд всё что захотят. Зачем с либами морочиться.

1.10, Аноним (10), 12:06, 05/05/2025 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
по названию подумал, что это либа доступа к акцессовским базам :)

2.18, Аноним (-), 23:51, 05/05/2025 [^] [^^] [^^^] [ответить]	+/–
Ну технологию ADO давно придумали и видимо это удобный способ написать дата провайдер в виде драйвера ADO чтобы программное обеспечение умеющее работать с ADO могло подключиться к твоему источнику данных.

1.16, Аноним (16), 18:03, 05/05/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Без ссылки на «PHP: a fractal of bad design» (2012 год) эта новость кажется неполной. Да и вообще любая новость про PHP.

1.19, Аноним (19), 08:11, 06/05/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Это что - php? Кто-то этим ещё пользуется?

2.20, Аноним (-), 08:55, 06/05/2025 [^] [^^] [^^^] [ответить]	+/–
Знаешь такого Дурова? Вот он на том самом php никому не нужном и стал богатым и известным. Поэтому чушь не неси, это до сих пор один из самых популярных языков

игнорирование участников | лог модерирования

Добавить комментарий

Текст: