CVE-2026-59149 in Mockooninformación

Resumen

por VulDB • 2026-07-10

Mockoon proporciona una forma de diseñar y ejecutar APIs simuladas (mock). Antes de la versión 9.7.0, una respuesta FILE cuyo filePath incrusta datos de la solicitud está restringida por getSafeFilePath en packages/commons-server/src/libs/server/server.ts mediante el chequeo resolvedPath.startsWith(staticBaseDir). Esta prueba de prefijo no tiene un límite separador de ruta (path-separator boundary), por lo que pasa una ruta escapada con ../ cuya forma absoluta comienza con el mismo prefijo que el directorio base, permitiendo a un cliente sin autenticar leer archivos desde rutas hermanas fuera del directorio servido mediante HTTP sendFile, WebSocket o callbacks. Este problema está corregido en la versión 9.7.0.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub M

Reservar

2026-07-02

Divulgación

2026-07-09

Moderación

aceptado

Artículo

VDB-377279

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!