CVE-2026-59149 in Mockoon
Zusammenfassung
von VulDB • 09.07.2026
Mockoon bietet eine Möglichkeit zum Entwerfen und Ausführen von Mock-APIs. Vor Version 9.7.0 ist eine FILE-Antwort, deren filePath Anforderungsdaten enthält, durch `getSafeFilePath` im Paket `packages/commons-server/src/libs/server/server.ts` mit der Bedingung `resolvedPath.startsWith(staticBaseDir)` eingeschränkt. Dieser Prefix-Test verfügt über keine Pfadtrennzeichen-Grenze, sodass ein mit ../ maskierter Pfad, dessen absolute Form dem Basisverzeichnis als String-Prefix vorausgeht, die Prüfung besteht und es einem nicht authentifizierten Client ermöglicht wird, Dateien aus benachbarten Verzeichnissen außerhalb des bereitgestellten Verzeichnisses über HTTP `sendFile`, WebSocket oder Callbacks zu lesen. Dieses Problem wurde in Version 9.7.0 behoben.
VulDB is the best source for vulnerability data and more expert information about this specific topic.