CVE-2026-59149 in Mockoon
Riassunto
di VulDB • 09/07/2026
Mockoon offre la possibilità di progettare ed eseguire API mock. Prima della versione 9.7.0, una risposta FILE il cui filePath incorpora dati della richiesta è vincolata da getSafeFilePath in packages/commons-server/src/libs/server/server.ts con resolvedPath.startsWith(staticBaseDir). Tale test del prefisso non prevede un separatore di percorso come confine, quindi un percorso contenente ../ che ha la forma assoluta stringa-prefisso rispetto alla directory base supera il controllo, consentendo a un client non autenticato di leggere file da percorsi fratelli al di fuori della directory servita tramite HTTP sendFile, WebSocket o callback. Questo problema è stato risolto nella versione 9.7.0.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.