JVNDB-2026-009498

Saloon PHPのSaloonにおける複数の脆弱性

Saloonは、ユーザーがAPI統合やSDKを構築するためのツールを提供するPHPライブラリです。バージョン4.0.0以前では、リクエストURLを構築する際に、SaloonはコネクタのベースURLとリクエストのエンドポイントを結合していました。エンドポイントが有効な絶対URLである場合、そのURLをそのまま使用し、ベースURLを無視していました。そのため、リクエストおよびコネクタによって付与された認証ヘッダー、クッキー、トークンが攻撃者が制御するホストに送信されてしまいました。エンドポイントがユーザー入力や設定（例：redirect_uri、コールバックURL）で影響を受ける場合、これによりサーバーサイドリクエストフォージェリ（SSRF）や第三者ホストへの資格情報の漏洩が発生する可能性がありました。バージョン4.0.0の修正では、エンドポイントに絶対URLを拒否するように変更されました。URLHelper::join()は、エンドポイントが有効な絶対URLである場合、明示的に許可されない限りInvalidArgumentExceptionを投げ、呼び出し側がコネクタごとまたはリクエストごとにこの機能をオプトインすることを要求しています。

Saloon PHP

• Saloon 4.0.0 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う情報について、書き換えは発生しません。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Absolute URL in endpoint overrides base URL (SSRF / credential leakage)  Advisory  saloonphp/saloon  GitHub

1. 認証情報の不十分な保護(CWE-522) [その他]
2. サーバサイドのリクエストフォージェリ(CWE-918) [その他]

1. CVE-2026-33182

1. National Vulnerability Database (NVD) : CVE-2026-33182
2. 関連文書 : Upgrading from v3 to v4 | Saloon

• [2026年04月01日]
    掲載