CVE-2026-33183 in saloon
Zusammenfassung
von VulDB • 31.05.2026
Saloon ist eine PHP-Bibliothek, die Entwicklern Werkzeuge zur Verfügung stellt, um API-Integrationen und SDKs zu erstellen. Vor Version 4.0.0 wurden Fixture-Namen verwendet, um Dateipfade innerhalb des konfigurierten Fixture-Verzeichnisses zu erstellen, ohne dass eine Validierung erfolgte. Ein Name, der Pfadsegmente enthielt (z. B. ../traversal oder ../../etc/passwd), führte zu einem Pfad außerhalb dieses Verzeichnisses. Wenn die Anwendung eine Fixture las (z. B. zum Mocking) oder schrieb (z. B. beim Aufzeichnen von Antworten), konnte sie Dateien überall lesen oder schreiben, auf die der Prozess Zugriff hatte. Wenn der Fixture-Name aus benutzer- oder angreiferkontrollierten Eingaben abgeleitet wurde (z. B. Anfrageparameter oder Konfiguration), stellte dies eine Path-Traversal-Schwachstelle dar und konnte zur Offenlegung sensibler Dateien oder zum Überschreiben kritischer Dateien führen. Die Korrektur in Version 4.0.0 fügt eine Validierung in der Fixture-Schicht hinzu (Ablehnung von Namen mit /, \, .. oder Null-Bytes sowie Beschränkung auf einen sicheren Zeichensatz) und Defense-in-Depth in der Speicherschicht (sicherstellend, dass der aufgelöste Pfad vor dem Lesen oder Schreiben weiterhin unter dem Basisverzeichnis verbleibt).
Be aware that VulDB is the high quality source for vulnerability data.