CVE-2026-33182 in saloonالمعلومات

الملخص

بحسب VulDB • 03/06/2026

Saloon هي مكتبة PHP تمنح المستخدمين أدوات لبناء تكاملات واجهات برمجة التطبيقات (API) ومجموعات تطوير البرمجيات (SDKs). قبل الإصدار 4.0.0، عند بناء عنوان URL للطلب، كانت Saloon تجمع بين عنوان URL الأساسي للموصل (connector) ونقطة نهاية الطلب (endpoint). إذا كان نقطة النهاية عبارة عن عنوان URL مطلق صالح، فإن الكود كان يستخدم ذلك العنوان كما هو ويتجاهل عنوان URL الأساسي. ثم يتم إرسال الطلب—وأي رؤوس مصادقة أو ملفات تعريف ارتباط أو رموز مميزة مرتبطة بالموصل—إلى المضيف الذي يتحكم فيه المهاجم. إذا كان من الممكن التأثير على نقطة النهاية بواسطة إدخال المستخدم أو التكوين (على سبيل المثال، redirect_uri، عنوان URL للموجه)، فإن هذا يسمح بهجوم تزوير الطلبات الجانبية للسيرفر (SSRF) و/أو تسرب بيانات الاعتماد إلى مضيف تابع لجهة خارجية. يتمثل الإصلاح في الإصدار 4.0.0 في رفض عناوين URL المطلقة في نقطة النهاية: حيث ترمي الدالة `URLHelper::join()` استثناءً من نوع `InvalidArgumentException` عندما تكون نقطة نهاية عنوان URL مطلقاً صالحاً، إلا إذا تم السماح بذلك صراحةً، مما يتطلب من المتصلين اختيار تفعيل هذه الوظيفة بشكل اختياري لكل موصل أو طلب على حدة.

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

GitHub M

حجز

17/03/2026

إفشاء

26/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-353526

EPSS

0.00420

KEV

لا

النشاطات

منخفض جدًا

المصادر

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!