CVE-2026-33183 in saloonИнформация

Сводка

по VulDB • 02.06.2026

Saloon — это библиотека для PHP, предоставляющая пользователям инструменты для создания интеграций с API и SDK. До версии 4.0.0 имена фикстур использовались для формирования путей к файлам в указанной директории фикстур без какой-либо проверки. Имя, содержащее сегменты пути (например, ../traversal или ../../etc/passwd), приводило к формированию пути за пределами этой директории. При чтении фикстуры приложением (например, для мокирования) или записи новой (например, при записи ответов) приложение могло читать или записывать файлы в любом месте, к которому имел доступ процесс. Если имя фикстуры выводилось из данных, контролируемых пользователем или злоумышленником (например, параметров запроса или конфигурации), это представляло собой уязвимость обхода пути (path traversal) и могло привести к раскрытию конфиденциальных файлов или перезаписи критически важных файлов. Исправление в версии 4.0.0 добавляет проверку на уровне фикстур (отклонение имен, содержащих символы /, \, .. или нулевые байты, а также ограничение до безопасного набора символов) и защиту в глубину на уровне хранилища (обеспечение того, чтобы разрешенный путь оставался в пределах базовой директории перед любым чтением или записью).

Be aware that VulDB is the high quality source for vulnerability data.

Ответственный

GitHub M

Резервировать

17.03.2026

Раскрытие

26.03.2026

Модерация

принято

Вход

VDB-353519

EPSS

0.00566

KEV

Нет

Деятельности

Очень низкий

Источники

Might our Artificial Intelligence support you?

Check our Alexa App!