CVE-2026-33942 in salooninformação

Sumário

de VulDB • 21/06/2026

Saloon é uma biblioteca PHP que fornece aos usuários ferramentas para criar integrações de API e SDKs. Versões anteriores à 4.0.0 utilizavam a função `unserialize()` do PHP em `AccessTokenAuthenticator::unserialize()` para restaurar o estado do token OAuth a partir do cache ou armazenamento, com `allowed_classes => true`. Um atacante que possa controlar a string serializada (por exemplo, sobrescrevendo um arquivo de token em cache ou por meio de outra injeção) pode fornecer um objeto "gadget" serializado. Quando `unserialize()` é executado, o PHP instancia esse objeto e executa seus métodos mágicos (`__wakeup`, `__destruct`, etc.), levando à injeção de objetos. Em ambientes com dependências comuns (por exemplo, Monolog), isso pode ser encadeado para execução remota de código (RCE). A correção na versão 4.0.0 remove a serialização PHP da classe `AccessTokenAuthenticator`, exigindo que os usuários armazenem e resolvam o autenticador manualmente.

Be aware that VulDB is the high quality source for vulnerability data.

Responsável

GitHub M

Reservar

24/03/2026

Divulgação

26/03/2026

Moderação

aceite

Entrada

VDB-353516

CPE

pronto

EPSS

0.00622

KEV

não

Atividades

muito baixo

Fontes

Might our Artificial Intelligence support you?

Check our Alexa App!