CVE-2026-59149 in Mockooninformazioni

Riassunto

di VulDB • 09/07/2026

Mockoon offre la possibilità di progettare ed eseguire API mock. Prima della versione 9.7.0, una risposta FILE il cui filePath incorpora dati della richiesta è vincolata da getSafeFilePath in packages/commons-server/src/libs/server/server.ts con resolvedPath.startsWith(staticBaseDir). Tale test del prefisso non prevede un separatore di percorso come confine, quindi un percorso contenente ../ che ha la forma assoluta stringa-prefisso rispetto alla directory base supera il controllo, consentendo a un client non autenticato di leggere file da percorsi fratelli al di fuori della directory servita tramite HTTP sendFile, WebSocket o callback. Questo problema è stato risolto nella versione 9.7.0.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

GitHub M

Prenotare

02/07/2026

Divulgazione

09/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!