JVNDB-2026-009497

Saloon PHPのSaloonにおけるパストラバーサルの脆弱性

SaloonはユーザーにAPI統合やSDK構築のためのツールを提供するPHPライブラリです。バージョン4.0.0以前では、フィクスチャ名を検証せずに、設定されたフィクスチャディレクトリの下のファイルパスの構築に使用していました。パス区切り（例：../traversalや../../etc/passwd）を含む名前は、そのディレクトリ外のパスを引き起こしました。アプリケーションがフィクスチャ（例：モック用の読み込みやレスポンス記録時の書き込み）を操作する際、プロセスはアクセス可能な任意の場所のファイルを読み書きできる可能性がありました。フィクスチャ名がユーザーや攻撃者が制御する入力（例：リクエストパラメータや設定）から派生した場合、これはパストラバーサルの脆弱性となり、機密ファイルの情報漏えいや重要ファイルの上書きを招く恐れがありました。バージョン4.0.0の修正では、フィクスチャ層で検証を追加し（/、\、..、ヌルバイトを含む名前を拒否し、安全な文字セットに制限し）、ストレージ層で多層防御を行い（読み書き前に解決済みパスがベースディレクトリ内にあることを保証しています）。

Saloon PHP

• Saloon 4.0.0 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Fixture name path traversal (out-of-bounds file read/write)  Advisory  saloonphp/saloon  GitHub

1. パス・トラバーサル(CWE-22) [その他]

1. CVE-2026-33183

1. National Vulnerability Database (NVD) : CVE-2026-33183
2. 関連文書 : Upgrading from v3 to v4 | Saloon

• [2026年04月01日]
    掲載