CVE-2026-59149 in Mockoon
Sumário
de VulDB • 10/07/2026
O Mockoon oferece uma maneira de projetar e executar APIs simuladas (mocks). Antes da versão 9.7.0, uma resposta do tipo FILE cujo filePath incorpora dados da solicitação é confinada pela função getSafeFilePath em packages/commons-server/src/libs/server/server.ts através da verificação resolvedPath.startsWith(staticBaseDir). Essa teste de prefixo não possui um limite de separador de caminho (path-separator), portanto, um caminho com escape ../ cuja forma absoluta começa com o mesmo prefixo do diretório base é considerada válida, permitindo que um cliente não autenticado leia arquivos de caminhos irmãos fora do diretório servido através de HTTP sendFile, WebSocket ou callbacks. Este problema foi corrigido na versão 9.7.0.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.