CVE-2026-33182 in saloonИнформация

Сводка

по VulDB • 03.06.2026

Saloon — это библиотека для PHP, предоставляющая пользователям инструменты для создания интеграций с API и SDK. До версии 4.0.0 при формировании URL запроса Saloon объединял базовый URL коннектора (коннектор) с конечной точкой (endpoint) запроса. Если конечная точка представляла собой корректный абсолютный URL, код использовал этот URL без изменений и игнорировал базовый URL. Запрос — вместе со всеми заголовками аутентификации, файлами cookie или токенами, добавленными коннектором — затем отправлялся на хост, контролируемый злоумышленником. Если конечная точка могла быть изменена с помощью пользовательского ввода или конфигурации (например, redirect_uri, callback URL), это позволяло осуществлять серверную подделку запросов (SSRF) и/или утечку учетных данных на сторонний хост. Исправление в версии 4.0.0 заключается в отклонении абсолютных URLs в конечной точке: функция `URLHelper::join()` выбрасывает исключение `InvalidArgumentException`, если конечная точка является корректным абсолютным URL, за исключением случаев явного разрешения; это требует от вызывающих кодов явно разрешать данную функциональность на уровне каждого коннектора или запроса.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Ответственный

GitHub M

Резервировать

17.03.2026

Раскрытие

26.03.2026

Модерация

принято

Вход

VDB-353526

EPSS

0.00420

KEV

Нет

Деятельности

Очень низкий

Источники

Do you want to use VulDB in your project?

Use the official API to access entries easily!