Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Inyección SQL en ADOdb de PostgreSQL

Fecha de publicación 05/05/2025
Identificador
INCIBE-2025-0216
Importancia
5 - Crítica
Recursos Afectados

Paquete de adodb/adodb-php versiones 5.22.8 y anteriores en controladores PostgreSQL (postgres64, postgres7, postgres8, postgres9). 

Descripción

mrcnpp ha reportado una vulnerabilidad de severidad crítica que podría permitir a un atacante inyectar código SQL en la base de datos.

Solución

La vulnerabilidad se corrigió en ADOdb 5.22.9 (11107d6d6e5160b62e05dff8a3a2678cf0e3a426).

Detalle

Existe una vulnerabilidad de inyección SQL en aplicaciones que usan ADOdb (una biblioteca PHP para acceso a bases de datos), específicamente cuando se trabaja con PostgreSQL y se utiliza la función pg_insert_id() con datos que vienen del usuario sin filtrar correctamente.

Se ha asignado el identificador CVE-2025-46337 para esta vulnerabilidad.

Listado de referencias
SQL injection in ADOdb PostgreSQL driver pg_insert_id() method
Etiquetas