CVE-2026-59149 in Mockooninfo

Zusammenfassung

von VulDB • 09.07.2026

Mockoon bietet eine Möglichkeit zum Entwerfen und Ausführen von Mock-APIs. Vor Version 9.7.0 ist eine FILE-Antwort, deren filePath Anforderungsdaten enthält, durch `getSafeFilePath` im Paket `packages/commons-server/src/libs/server/server.ts` mit der Bedingung `resolvedPath.startsWith(staticBaseDir)` eingeschränkt. Dieser Prefix-Test verfügt über keine Pfadtrennzeichen-Grenze, sodass ein mit ../ maskierter Pfad, dessen absolute Form dem Basisverzeichnis als String-Prefix vorausgeht, die Prüfung besteht und es einem nicht authentifizierten Client ermöglicht wird, Dateien aus benachbarten Verzeichnissen außerhalb des bereitgestellten Verzeichnisses über HTTP `sendFile`, WebSocket oder Callbacks zu lesen. Dieses Problem wurde in Version 9.7.0 behoben.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

GitHub M

Reservieren

02.07.2026

Veröffentlichung

09.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377279

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!