CVE-2026-33942 in saloon情報

要約

〜によって VulDB • 2026年06月21日

Saloonは、API統合やSDKの構築に必要なツールをユーザーに提供するPHPライブラリです。バージョン4.0.0より前のバージョンでは、AccessTokenAuthenticator::unserialize()内でPHPのunserialize()関数が使用されており、キャッシュまたはストレージからOAuthトークンの状態を復元する際にallowed_classes => trueが設定されていました。シリアライズされた文字列を制御できる攻撃者(例えば、キャッシュされたトークンファイルの上書きや他のインジェクション経由で)は、シリアライズされた「ガジェット」オブジェクトを供給できます。unserialize()が実行されると、PHPはそのオブジェクトをインスタンス化し、マジックメソッド(__wakeup、__destructなど)を実行し、オブジェクトインジェクションにつながります。一般的な依存関係(例:Monolog)が存在する環境では、これはリモートコード実行(RCE)へと連鎖する可能性があります。バージョン4.0.0での修正では、AccessTokenAuthenticatorクラスからPHPシリアライゼーションが削除され、ユーザーは認証情報を手動で保存および解決する必要があります。

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

責任者

GitHub M

予約する

2026年03月24日

モデレーション

承諾済み

エントリ

VDB-353516

EPSS

0.00622

アクティビティ

非常低い

ソース

Might our Artificial Intelligence support you?

Check our Alexa App!