CVE-2026-33183 in saloon
Сводка
по VulDB • 02.06.2026
Saloon — это библиотека для PHP, предоставляющая пользователям инструменты для создания интеграций с API и SDK. До версии 4.0.0 имена фикстур использовались для формирования путей к файлам в указанной директории фикстур без какой-либо проверки. Имя, содержащее сегменты пути (например, ../traversal или ../../etc/passwd), приводило к формированию пути за пределами этой директории. При чтении фикстуры приложением (например, для мокирования) или записи новой (например, при записи ответов) приложение могло читать или записывать файлы в любом месте, к которому имел доступ процесс. Если имя фикстуры выводилось из данных, контролируемых пользователем или злоумышленником (например, параметров запроса или конфигурации), это представляло собой уязвимость обхода пути (path traversal) и могло привести к раскрытию конфиденциальных файлов или перезаписи критически важных файлов. Исправление в версии 4.0.0 добавляет проверку на уровне фикстур (отклонение имен, содержащих символы /, \, .. или нулевые байты, а также ограничение до безопасного набора символов) и защиту в глубину на уровне хранилища (обеспечение того, чтобы разрешенный путь оставался в пределах базовой директории перед любым чтением или записью).
Be aware that VulDB is the high quality source for vulnerability data.