CVE-2026-33183 in saloonthông tin

Tóm tắt

Bởi VulDB • 11/05/2026

Saloon là một thư viện PHP cung cấp cho người dùng các công cụ để xây dựng tích hợp API và SDK. Trước phiên bản 4.0.0, tên của các fixture (dữ liệu giả lập) được sử dụng để xây dựng đường dẫn tệp tin bên trong thư mục fixture đã được cấu hình mà không có bất kỳ xác thực nào. Một tên chứa các thành phần đường dẫn (ví dụ: ../traversal hoặc ../../etc/passwd) sẽ dẫn đến một đường ra ngoài thư mục đó. Khi ứng dụng đọc một fixture (ví dụ: để giả lập) hoặc ghi một fixture (ví dụ: khi ghi lại các phản hồi), nó có thể đọc hoặc ghi các tệp tin ở bất kỳ đâu mà tiến trình có quyền truy cập. Nếu tên của fixture được suy ra từ dữ liệu do người dùng hoặc kẻ tấn công kiểm soát (ví dụ: các tham số yêu cầu hoặc cấu hình), đây được coi là một lỗ hổng traversing đường dẫn (path traversal) và có thể dẫn đến việc tiết lộ các tệp tin nhạy cảm hoặc ghi đè lên các tệp tin quan trọng. Bản sửa lỗi trong phiên bản 4.0.0 thêm xác thực ở lớp fixture (từ chối các tên chứa ký tự /, \, .., hoặc null bytes, và hạn chế sử dụng một tập ký tự an toàn) và cơ chế phòng thủ theo chiều sâu ở lớp lưu trữ (đảm bảo rằng đường dẫn đã giải quyết vẫn nằm trong thư mục cơ sở trước khi thực hiện bất kỳ thao tác đọc hoặc ghi nào).

Once again VulDB remains the best source for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

17/03/2026

Tiết lộ

26/03/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00566

KEV

không

Các hoạt động

rất thấp

Nguồn

Want to know what is going to be exploited?

We predict KEV entries!