CVE-2026-33182 in saloon情報

要約

〜によって VulDB • 2026年05月10日

Saloonは、API統合やSDKの構築に必要なツールをユーザーに提供するPHPライブラリです。バージョン4.0.0より前では、リクエストURLを構築する際、SaloonはコネクタのベースURLとリクエストエンドポイントを結合していました。エンドポイントが有効な絶対URLの場合、コードはそのURLをそのまま使用し、ベースURLを無視していました。その後、リクエストおよびコネクタによって付与された認証ヘッダー、クッキー、トークンが、攻撃者が制御するホストに送信されていました。エンドポイントがユーザー入力や設定(例:redirect_uri、コールバックURL)によって影響を受ける可能性がある場合、これはサーバーサイドリクエストフォージェリ(SSRF)および/または第三者ホストへの資格情報漏洩を可能にしました。バージョン4.0.0での修正は、エンドポイントでの絶対URLの拒否です。URLHelper::join()は、エンドポイントが有効な絶対URLの場合、明示的に許可されていない限りInvalidArgumentExceptionをスローし、呼び出し元がコネクタごとまたはリクエストごとにこの機能を使用するオプトインを要求します。

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

責任者

GitHub M

予約する

2026年03月17日

モデレーション

承諾済み

エントリ

VDB-353526

EPSS

0.00420

アクティビティ

非常低い

ソース

Want to stay up to date on a daily basis?

Enable the mail alert feature now!