CVE-2026-33183 in salooninfo

Zusammenfassung

von VulDB • 31.05.2026

Saloon ist eine PHP-Bibliothek, die Entwicklern Werkzeuge zur Verfügung stellt, um API-Integrationen und SDKs zu erstellen. Vor Version 4.0.0 wurden Fixture-Namen verwendet, um Dateipfade innerhalb des konfigurierten Fixture-Verzeichnisses zu erstellen, ohne dass eine Validierung erfolgte. Ein Name, der Pfadsegmente enthielt (z. B. ../traversal oder ../../etc/passwd), führte zu einem Pfad außerhalb dieses Verzeichnisses. Wenn die Anwendung eine Fixture las (z. B. zum Mocking) oder schrieb (z. B. beim Aufzeichnen von Antworten), konnte sie Dateien überall lesen oder schreiben, auf die der Prozess Zugriff hatte. Wenn der Fixture-Name aus benutzer- oder angreiferkontrollierten Eingaben abgeleitet wurde (z. B. Anfrageparameter oder Konfiguration), stellte dies eine Path-Traversal-Schwachstelle dar und konnte zur Offenlegung sensibler Dateien oder zum Überschreiben kritischer Dateien führen. Die Korrektur in Version 4.0.0 fügt eine Validierung in der Fixture-Schicht hinzu (Ablehnung von Namen mit /, \, .. oder Null-Bytes sowie Beschränkung auf einen sicheren Zeichensatz) und Defense-in-Depth in der Speicherschicht (sicherstellend, dass der aufgelöste Pfad vor dem Lesen oder Schreiben weiterhin unter dem Basisverzeichnis verbleibt).

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

GitHub M

Reservieren

17.03.2026

Veröffentlichung

26.03.2026

Moderieren

akzeptiert

Eintrag

VDB-353519

CPE

bereit

EPSS

0.00566

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!