Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Saloon (CVE-2026-33183)

Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
26/03/2026
Última modificación:
30/03/2026

Descripción

Saloon es una biblioteca de PHP que ofrece a los usuarios herramientas para crear integraciones de API y SDK. Antes de la versión 4.0.0, los nombres de los fixtures se utilizaban para generar rutas de archivo dentro del directorio de fixtures configurado sin validación. Un nombre que contuviera segmentos de ruta (por ejemplo, ../traversal o ../../etc /passwd) daba lugar a una ruta fuera de dicho directorio. Cuando la aplicación leía un fixture (por ejemplo, para simulación) o escribía uno (por ejemplo, al registrar respuestas), podía leer o escribir archivos en cualquier lugar al que el proceso tuviera acceso. Si el nombre del fixture se derivaba de una entrada controlada por el usuario o por un atacante (por ejemplo, parámetros de solicitud o configuración), esto constituía una vulnerabilidad de traversal de ruta y podía dar lugar a la divulgación de archivos confidenciales o a la sobrescritura de archivos críticos. La corrección en la versión 4.0.0 añade validación en la capa de fixtures (rechazando nombres con /, \, .. o bytes nulos, y restringiéndolos a un conjunto de caracteres seguro) y defensa en profundidad en la capa de almacenamiento (asegurando que la ruta resuelta permanezca bajo el directorio base antes de cualquier lectura o escritura).

Impacto

Vector 4.0
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:U CVSS v4.0 Severidad y Métricas:

Puntuación base: 8.00 ALTA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:U

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno
Exploit Maturity (E): Unreported

Puntuación base 4.0
8.00
Gravedad 4.0
ALTA
Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.10 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
9.10
Gravedad 3.x
CRÍTICA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:saloon:saloon:*:*:*:*:*:*:*:* 4.0.0 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información