Một lỗ hổng bảo mật đặc biệt nghiêm trọng vừa được phát hiện trong thư viện ADOdb – một thư viện truy xuất cơ sở dữ liệu phổ biến dành cho PHP, đang được sử dụng rộng rãi trong nhiều ứng dụng web và hệ thống New88 cung cấp cá cược thể thao, casino online và game slot chất lượng cao. Lỗ hổng này được định danh là CVE-2025-46337, ảnh hưởng đến tất cả các phiên bản ADOdb trước 5.22.9 và được đánh giá với điểm CVSS tối đa 10, mức độ nghiêm trọng cao nhất theo thang đo chuẩn quốc tế.
Nguyên nhân của lỗ hổng xuất phát từ việc thư viện ADOdb xử lý không an toàn dữ liệu đầu vào do người dùng cung cấp khi dữ liệu này được truyền vào tham số $fieldname của hàm pg_insert_id(). Trong quá trình Trang Chủ Chính Thức Của New88.com truy vấn SQL, tham số này không được kiểm tra, ràng buộc hoặc làm sạch đúng cách, tạo điều kiện để kẻ tấn công chèn các đoạn mã SQL độc hại. Đây là một dạng SQL Injection, một trong những lỗ hổng phổ biến nhưng cũng nguy hiểm nhất đối với các ứng dụng web kết nối cơ sở dữ liệu.
Vị trí chịu ảnh hưởng trực tiếp là hàm pg_insert_id() trong trình điều khiển PostgreSQL của ADOdb. Lỗ hổng tác động đến nhiều driver PostgreSQL khác nhau, bao gồm postgres64, postgres7, postgres8 và postgres9, khiến phạm vi ảnh hưởng trở nên rộng, đặc biệt với các hệ thống cũ hoặc chưa được cập nhật thường xuyên. Do ADOdb thường được tích hợp sâu trong tầng truy cập dữ liệu của ứng dụng, lỗ hổng này có thể bị khai thác mà không dễ dàng bị phát hiện.
Nếu bị khai thác thành công, CVE-2025-46337 có thể dẫn đến nhiều hậu quả nghiêm trọng. Kẻ tấn công có thể thực thi các câu lệnh SQL tùy ý, truy cập trái phép vào dữ liệu nhạy cảm, chỉnh sửa hoặc xóa toàn bộ bảng dữ liệu trong cơ sở dữ liệu. Trong những kịch bản nguy hiểm hơn, nếu tài khoản cơ sở dữ liệu mà ứng dụng sử dụng có quyền cao, kẻ tấn công thậm chí có thể chiếm quyền kiểm soát toàn bộ hệ thống cơ sở dữ liệu, làm gián đoạn dịch vụ hoặc gây thất thoát dữ liệu nghiêm trọng.
Rủi ro đặc biệt cao khi dữ liệu truyền vào tham số $fieldname được lấy trực tiếp từ các HTTP request, biểu mẫu người dùng hoặc các tham số URL mà không qua kiểm soát chặt chẽ. Trong trường hợp này, kẻ tấn công chỉ cần gửi một yêu cầu được chế tạo sẵn để kiểm soát luồng thực thi SQL, từ đó đánh cắp dữ liệu, phá hoại hệ thống hoặc mở đường cho các hình thức tấn công sâu hơn, bao gồm cả thực thi mã từ xa tùy theo cấu hình hệ thống và quyền hạn của cơ sở dữ liệu.
Trước mối đe dọa nghiêm trọng này, các nhà phát triển và quản trị hệ thống được khuyến cáo cập nhật ngay lên phiên bản ADOdb 5.22.9, trong đó lỗ hổng đã được khắc phục thông qua bản vá chính thức (commit 11107d6). Đối với các hệ thống chưa thể nâng cấp ngay vì lý do tương thích hoặc vận hành, cần áp dụng biện pháp giảm thiểu tạm thời như kiểm soát chặt chẽ dữ liệu truyền vào tham số $fieldname, đồng thời sử dụng hàm pg_escape_identifier() để xử lý an toàn trước khi đưa vào truy vấn SQL.
Việc chủ động cập nhật và kiểm soát đầu vào không chỉ giúp loại bỏ nguy cơ từ CVE-2025-46337 mà còn góp phần nâng cao mức độ an toàn tổng thể cho các ứng dụng PHP sử dụng ADOdb trong bối cảnh các cuộc tấn công mạng ngày càng tinh vi và có chủ đích.
