发布日期：2026-02-03
更新日期：2026-03-30

受影响系统：

PEAR PEAR < 1.33.0

描述：

---

CVE(CAN) ID: CVE-2026-25240

PEAR是一套面向可复用PHP组件的开发框架与分发系统，为PHP项目提供通用组件支持。
PEAR 1.33.0之前版本存在SQL注入漏洞，该漏洞源于user::maintains()方法在处理以数组形式传入的角色过滤器时，未对相关数据进行安全校验与过滤，直接将其拼接到SQL语句的IN(…) 子句中，攻击者可利用该漏洞执行注入的SQL语句。

<*链接：https://github.com/pear/pearweb/security/advisories/GHSA-xw9g-5gr2-c44f
*>

建议：

---

厂商补丁：

PEAR
----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/pear/pearweb/tags

浏览次数：136
严重程度：0（网友投票）