JVNDB-2026-009387

Saloon PHPのSaloonにおける信頼できないデータのデシリアライゼーションに関する脆弱性

Saloonは、ユーザーがAPI統合やSDKを構築するためのツールを提供するPHPライブラリです。バージョン4.0.0未満では、AccessTokenAuthenticator::unserialize()でOAuthトークンの状態をキャッシュやストレージから復元する際にPHPのunserialize()を使用し、allowed_classesをtrueに設定していました。攻撃者がシリアライズされた文字列（例えばキャッシュされたトークンファイルの上書きやその他の注入手段で）を制御できる場合、シリアライズされた「ガジェット」オブジェクトを提供することが可能です。unserialize()が実行されると、PHPはそのオブジェクトをインスタンス化してマジックメソッド（__wakeup、__destructなど）を実行し、オブジェクト注入が発生します。Monologのような一般的な依存関係が存在する環境では、これを連鎖させてリモートコード実行（RCE）に至ることがあります。バージョン4.0.0の修正では、AccessTokenAuthenticatorクラスからPHPのシリアライズ処理を除去し、ユーザーが認証情報を手動で保存・解決しなければならないように変更されました。

Saloon PHP

• Saloon 4.0.0 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Insecure deserialisation in AccessTokenAuthenticator (object injection / RCE)  Advisory  saloonphp/saloon  GitHub

1. 信頼できないデータのデシリアライゼーション(CWE-502) [その他]

1. CVE-2026-33942

1. National Vulnerability Database (NVD) : CVE-2026-33942
2. 関連文書 : Upgrading from v3 to v4 | Saloon

• [2026年03月31日]
    掲載