CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-33183

Critical
Published: Translated: NVD NIST

Summary

Saloon to biblioteka PHP, która umożliwia użytkownikom budowanie integracji API i SDK. W wersjach przed 4.0.0, nazwy fixture były używane do budowania ścieżek plików w skonfigurowanym katalogu fixture bez walidacji, co prowadziło do podatności na traversję ścieżek.

Risk Assessment

Podatność ta może umożliwić atakującym dostęp do wrażliwych plików lub nadpisanie krytycznych plików, jeśli nazwa fixture pochodzi z danych kontrolowanych przez użytkownika lub atakującego.

Recommendation

Zaleca się aktualizację do wersji 4.0.0 lub nowszej, która wprowadza walidację nazw fixture oraz dodatkowe zabezpieczenia w warstwie przechowywania, aby zapewnić, że rozwiązana ścieżka pozostaje w obrębie katalogu bazowego.

Original NVD description (English source)

Saloon is a PHP library that gives users tools to build API integrations and SDKs. Prior to version 4.0.0, fixture names were used to build file paths under the configured fixture directory without validation. A name containing path segments (e.g. ../traversal or ../../etc/passwd) resulted in a path outside that directory. When the application read a fixture (e.g. for mocking) or wrote one (e.g. when recording responses), it could read or write files anywhere the process had access. If the fixture name was derived from user or attacker-controlled input (e.g. request parameters or config), this constituted a path traversal vulnerability and could lead to disclosure of sensitive files or overwriting of critical files. The fix in version 4.0.0 adds validation in the fixture layer (rejecting names with /, \, .., or null bytes, and restricting to a safe character set) and defense-in-depth in the storage layer (ensuring the resolved path remains under the base directory before any read or wr

Vulnerability data from NVD (NIST) · CISA KEV · EPSS