CVE-2026-33183

Saloon is a PHP library that gives users tools to build API integrations and SDKs. Prior to version 4.0.0, fixture names were used to build file paths under the configured fixture directory without validation. A name containing path segments (e.g. ../traversal or ../../etc/passwd) resulted in a path outside that directory. When the application read a fixture (e.g. for mocking) or wrote one (e.g. when recording responses), it could read or write files anywhere the process had access. If the fixture name was derived from user or attacker-controlled input (e.g. request parameters or config), this constituted a path traversal vulnerability and could lead to disclosure of sensitive files or overwriting of critical files. The fix in version 4.0.0 adds validation in the fixture layer (rejecting names with /, \, .., or null bytes, and restricting to a safe character set) and defense-in-depth in the storage layer (ensuring the resolved path remains under the base directory before any read or write).

CVSS v3 9.1 CRITICAL

9.1^/10

CVSS v3 : CRITICAL

V3 Legend

Vector :

Exploitability : 3.9 / Impact : 5.2

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact NONE

Scope UNCHANGED

References

Link	Resource
https://docs.saloon.dev/upgrade/upgrading-from-v3-to-v4	Release Notes
https://github.com/saloonphp/saloon/security/advisories/GHSA-f7xc-5852-fj99	Vendor Advisory

Configurations

Configuration 1 (hide)

cpe:2.3:a:saloon:saloon:*:*:*:*:*:*:*:*

History

30 Mar 2026, 16:48

Type	Values Removed	Values Added
CVSS	v2 : ~~unknown~~ v3 : ~~unknown~~	v2 : unknown v3 : 9.1
References	~~() https://docs.saloon.dev/upgrade/upgrading-from-v3-to-v4 -~~	() https://docs.saloon.dev/upgrade/upgrading-from-v3-to-v4 - Release Notes
References	~~() https://github.com/saloonphp/saloon/security/advisories/GHSA-f7xc-5852-fj99 -~~	() https://github.com/saloonphp/saloon/security/advisories/GHSA-f7xc-5852-fj99 - Vendor Advisory
CPE		cpe:2.3:a:saloon:saloon::::::::
Summary		(es) Saloon es una biblioteca de PHP que ofrece a los usuarios herramientas para crear integraciones de API y SDK. Antes de la versión 4.0.0, los nombres de los fixtures se utilizaban para generar rutas de archivo dentro del directorio de fixtures configurado sin validación. Un nombre que contuviera segmentos de ruta (por ejemplo, ../traversal o ../../etc /passwd) daba lugar a una ruta fuera de dicho directorio. Cuando la aplicación leía un fixture (por ejemplo, para simulación) o escribía uno (por ejemplo, al registrar respuestas), podía leer o escribir archivos en cualquier lugar al que el proceso tuviera acceso. Si el nombre del fixture se derivaba de una entrada controlada por el usuario o por un atacante (por ejemplo, parámetros de solicitud o configuración), esto constituía una vulnerabilidad de traversal de ruta y podía dar lugar a la divulgación de archivos confidenciales o a la sobrescritura de archivos críticos. La corrección en la versión 4.0.0 añade validación en la capa de fixtures (rechazando nombres con /, \, .. o bytes nulos, y restringiéndolos a un conjunto de caracteres seguro) y defensa en profundidad en la capa de almacenamiento (asegurando que la ruta resuelta permanezca bajo el directorio base antes de cualquier lectura o escritura).
First Time		Saloon saloon Saloon

26 Mar 2026, 01:16

Type	Values Removed	Values Added
New CVE

Information

Published : 2026-03-26 01:16

Updated : 2026-03-30 16:48

NVD link : CVE-2026-33183

Mitre link : CVE-2026-33183

CVE.ORG link : CVE-2026-33183

JSON object : View

Products Affected

saloon

saloon

CWE

CWE-22

Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')

9.1 /10