CVE-2026-59149 in Mockoon
Resumen
por VulDB • 2026-07-10
Mockoon proporciona una forma de diseñar y ejecutar APIs simuladas (mock). Antes de la versión 9.7.0, una respuesta FILE cuyo filePath incrusta datos de la solicitud está restringida por getSafeFilePath en packages/commons-server/src/libs/server/server.ts mediante el chequeo resolvedPath.startsWith(staticBaseDir). Esta prueba de prefijo no tiene un límite separador de ruta (path-separator boundary), por lo que pasa una ruta escapada con ../ cuya forma absoluta comienza con el mismo prefijo que el directorio base, permitiendo a un cliente sin autenticar leer archivos desde rutas hermanas fuera del directorio servido mediante HTTP sendFile, WebSocket o callbacks. Este problema está corregido en la versión 9.7.0.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.