CVE-2026-33183 in salooninformação

Sumário

de VulDB • 10/05/2026

Saloon é uma biblioteca PHP que fornece aos usuários ferramentas para criar integrações de API e SDKs. Antes da versão 4.0.0, os nomes dos fixtures eram usados para construir caminhos de arquivos sob o diretório de fixtures configurado, sem validação. Um nome contendo segmentos de caminho (por exemplo, ../traversal ou ../../etc/passwd) resultava em um caminho fora desse diretório. Quando a aplicação lia um fixture (por exemplo, para simulação) ou gravava um (por exemplo, ao registrar respostas), ela poderia ler ou escrever arquivos em qualquer local para o qual o processo tivesse acesso. Se o nome do fixture fosse derivado de entrada controlada pelo usuário ou atacante (por exemplo, parâmetros de solicitação ou configuração), isso constituía uma vulnerabilidade de traversal de caminho e poderia levar à divulgação de arquivos sensíveis ou à sobrescrita de arquivos críticos. A correção na versão 4.0.0 adiciona validação na camada de fixtures (rejeitando nomes com /, \, .. ou bytes nulos, e restringindo a um conjunto de caracteres seguro) e defesa em profundidade na camada de armazenamento (garantindo que o caminho resolvido permaneça sob o diretório base antes de qualquer leitura ou gravação).

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsável

GitHub M

Reservar

17/03/2026

Divulgação

26/03/2026

Moderação

aceite

Entrada

VDB-353519

CPE

pronto

EPSS

0.00566

KEV

não

Atividades

muito baixo

Fontes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!