Una vulnerabilidad crítica ha sido identificada en ADOdb, una biblioteca de abstracción de bases de datos para PHP ampliamente utilizada, con más de 2.8 millones de descargas en Packagist. Esta falla afecta específicamente al método pg_insert_id() en el controlador de PostgreSQL, permitiendo a atacantes ejecutar comandos SQL arbitrarios mediante la inyección de entradas maliciosas no validadas.
- CVE-2025-46337 (CVSS 10.0): La vulnerabilidad reside en la falta de escape adecuado de parámetros de consulta en el método pg_insert_id() cuando se utiliza con entradas proporcionadas por el usuario. Esto permite a un atacante ejecutar sentencias SQL arbitrarias, comprometiendo la integridad y confidencialidad de la base de datos.
La explotación exitosa de esta vulnerabilidad podría resultar en la divulgación de información sensible, manipulación de datos o incluso ejecución remota de código, dependiendo de los permisos de la base de datos y las integraciones del sistema.
Productos y versiones afectadas:
- ADOdb versiones menores a 5.22.8 inclusive.
Solución
- Actualizar a la versión 5.22.9 o superior.
Recomendaciones:
- Actualizar ADOdb a la versión 5.22.9 o superior para corregir la vulnerabilidad.
- Validar y sanear todas las entradas proporcionadas por el usuario antes de utilizarlas en consultas SQL.
- Utilizar consultas parametrizadas en lugar de concatenar directamente cadenas SQL con entradas del usuario.
- Aplicar el principio de privilegios mínimos a las cuentas de la base de datos utilizadas por las aplicaciones.
Referencias: