CVE-2026-33182 in salooninformación

Resumen

por VulDB • 2026-05-14

Saloon es una biblioteca de PHP que proporciona a los usuarios herramientas para crear integraciones de API y SDK. Antes de la versión 4.0.0, al construir la URL de la solicitud, Saloon combinaba la URL base del conector con el punto final (endpoint) de la solicitud. Si el punto final era una URL absoluta válida, el código utilizaba dicha URL tal cual e ignoraba la URL base. La solicitud, junto con cualquier encabezado de autenticación, cookie o token adjunto por el conector, se enviaba entonces al host controlado por el atacante. Si el punto final podía ser influenciado por la entrada del usuario o la configuración (por ejemplo, redirect_uri, URL de callback), esto permitía una falsificación de solicitudes del lado del servidor (SSRF) y/o la filtración de credenciales a un host de terceros. La corrección en la versión 4.0.0 consiste en rechazar las URLs absolutas en el punto final: URLHelper::join() lanza una excepción InvalidArgumentException cuando el punto final es una URL absoluta válida, a menos que se permita explícitamente, lo que obliga a los llamadores a optar por habilitar esta funcionalidad por conector o por solicitud.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

GitHub M

Reservar

2026-03-17

Divulgación

2026-03-26

Moderación

aceptado

Artículo

VDB-353526

CPE

listo

EPSS

0.00420

KEV

no

Actividades

muy bajo

Fuentes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!