Popüler ADODB PHP veritabanı soyutlama kütüphanesinde, saldırganların keyfi SQL ifadeleri yürütmesine izin verebilecek ve SQLITE3 veritabanlarını kullanarak uygulamalar için önemli riskler oluşturan kritik bir güvenlik açığı keşfedilmiştir.
CVE-2025-54119 olarak adlandırılan kusur, ADODB’nin 5.22.9’a kadar tüm sürümlerini etkiler.
| Alan | Detaylar |
| CVE kimliği | CVE-2025-54119 |
| Güvenlik Açığı Türü | ADODB SQLITE3 sürücüsünde SQL enjeksiyonu |
| Şiddet | Eleştirel |
| CVSS v3.1 puanı | CVSS: 3.1/AV: N/AC: N/UI: N/UI: C: H/I: H/A: L |
Güvenlik Açığı Detayları ve Etki
Güvenlik sorunu, ADODB SQLITE3 sürücüsü içindeki sorgu parametrelerinin uygunsuz kaçışından kaynaklanmaktadır ve özellikle üç kritik meta veri yöntemini etkiler: Metacolumns (), MetaForeignkeys () ve MetainDexes ().
Bu yöntemler hazırlanmış tablo adlarıyla çağrıldığında, saldırganlar temel SQLite3 veritabanına karşı yürütülen kötü amaçlı SQL kodu enjekte edebilir.
Güvenlik açığı, Mantis Bug Tracker dahil olmak üzere çeşitli kritik PHP projelerinin sürdürülmesine aktif olarak katılan İsviçre merkezli ADODB projesinin önde gelen bir bakıcısı olan Dregad tarafından yayınlandı.
Güvenlik danışmanlığı sadece iki gün önce kamuya açıklandı ve bu açıklamanın acil doğasını vurguladı.
Ortak Güvenlik Açığı Skorlama Sistemi (CVSS) V3.1 metriklerine göre, bu kusura kritik bir şiddet derecesi verilmiştir.
Saldırı vektörü, hiçbir ayrıcalık veya kullanıcı etkileşimi gerektirmeyen düşük karmaşıklığa sahip ağ tabanlı olarak sınıflandırılır.
Kapsam “değişti” olarak kabul edilir, yani güvenlik açığı, hem gizlilik hem de bütünlük üzerinde yüksek etkisi ve mevcudiyet üzerinde düşük etkisi olan hemen bileşenin ötesindeki kaynakları etkileyebilir.
Kök neden, etkilenen meta veri yöntemlerine aktarılan tablo adlarını işlerken yetersiz giriş sterilizasyonunda yatmaktadır.
Bu, CWE-89 altında sınıflandırılan klasik bir SQL enjeksiyon güvenlik açığını temsil eder (bir SQL komutunda kullanılan özel elementlerin yanlış nötralizasyonu).
Kullanıcı tarafından sağlanan verilerin doğrulama olmadan doğrudan bu yöntemlere aktarıldığı en kötü senaryolarda, saldırganlar potansiyel olarak hassas verileri okuyabilir, veritabanı içeriğini değiştirebilir veya yönetici işlemleri yürütebilir.
Güvenlik açığı, özellikle veritabanı meta veri sorgularını kullanıcı girişine dayalı olarak dinamik olarak oluşturan uygulamaları, veritabanı yönetim araçlarında ortak bir model, içerik yönetim sistemleri ve veritabanı içgözlem özellikleri sağlayan özel uygulamaları etkiler.
ADODB geliştiricileri, 5B8BD52CDCFFFB4ECDED1B399C98CFA516AFE03 ile piyasaya sürülen 5.22.10 sürümünde bu kritik kusuru ele aldı.
Etkilenen sürümleri kullanan kuruluşlar, bu güvenlik riskini ortadan kaldırmak için derhal yamalı sürüme yükseltilmelidir.
Hemen yükseltmenin mümkün olmadığı ortamlar için geliştiriciler, yalnızca kontrollü, onaylanmış verilerin metakolumns (), MetAboreignkeys () ve MetainDexes () yöntemlerinin $ tablo parametresine aktarılmasını sağlayarak geçici bir çözüm uygulayabilir.
Güvenlik açığı, kusuru tanımlayan ve uygun kanallar aracılığıyla bildiren güvenlik araştırmacısı Marco Nappi (@mrcnpp) tarafından sorumlu bir şekilde açıklandı.
Bu keşif, dünya çapında sayısız web uygulamasının omurgasını oluşturan yaygın olarak kullanılan açık kaynak kütüphanelerinde devam eden güvenlik araştırmalarının öneminin altını çizmektedir.
Kuruluşlar, ADODB uygulamalarını denetlemeli ve bu kritik güvenlik açığının potansiyel sömürüsüne karşı korunmak için bu güvenlik güncellemesini uygulamaya öncelik vermelidir.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!