Er is een ernstige kwetsbaarheid ontdekt in de sqlite3 driver van ADOdb, die het mogelijk maakt om SQL-injectie uit te voeren. Deze kwetsbaarheid, CVE-2025-54119, kan leiden tot ongeautoriseerde toegang en manipulatie van databasegegevens zonder gebruikersinvoer.
Overzicht
ADOdb is een PHP database class library die abstracties biedt voor het uitvoeren van queries en het beheren van databases. In versies 5.22.9 en eerder zorgt onjuiste ontsnapping van een queryparameter ervoor dat een aanvaller willekeurige SQL-verklaringen kan uitvoeren. Dit gebeurt wanneer de sqlite3 database is verbonden en de methode metaColumns(), metaForeignKeys() of metaIndexes() wordt aangeroepen met een speciaal vervaardigde tabelnaam.
Aanbevelingen
- Update naar ADOdb versie 5.22.10 om deze kwetsbaarheid te verhelpen.
- Gebruik alleen gecontroleerde gegevens voor de
$tableparameter bij het aanroepen vanmetaColumns(),metaForeignKeys()enmetaIndexes().
Bronnen
Vraag en Antwoord
Wat is CVE-2025-54119?
Dit is een bekende kwetsbaarheid in de ADOdb sqlite3 driver waarmee aanvallers SQL-injecties kunnen uitvoeren.
Welke systemen zijn kwetsbaar voor CVE-2025-54119?
Alle systemen die gebruik maken van ADOdb versie 5.22.9 en lager.
Bestaat er al een patch of beveiligingsupdate?
Ja, upgrade naar versie 5.22.10 om de kwetsbaarheid te verhelpen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan willekeurige SQL-verklaringen uitvoeren, waardoor het mogelijk is om ongeautoriseerde toegang te krijgen of gegevens te manipuleren.
