CVE-2026-59149 in Mockoon
요약
\~에 의해 VulDB • 2026. 07. 09.
Mockoon은 모의 API를 설계하고 실행할 수 있는 방법을 제공합니다. 버전 9.7.0 이전에서는 filePath에 요청 데이터가 포함된 FILE 응답이 packages/commons-server/src/libs/server/server.ts 내 getSafeFilePath 함수에서 resolvedPath.startsWith(staticBaseDir)로 제한되었습니다. 이 접두사 테스트에는 경로 구분자 경계가 없으므로, 절대 경로 문자열이 기본 디렉토리의 접두사로 일치하는 ../- 이스케이프된 경로가 통과하여 인증되지 않은 클라이언트가 HTTP sendFile, WebSocket 또는 콜백을 통해 서비스 제공 디렉토리 외부의 형제 경로에 있는 파일을 읽을 수 있게 됩니다. 이 문제는 버전 9.7.0에서 수정되었습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.