CVE-2026-59149 in Mockooninformação

Sumário

de VulDB • 10/07/2026

O Mockoon oferece uma maneira de projetar e executar APIs simuladas (mocks). Antes da versão 9.7.0, uma resposta do tipo FILE cujo filePath incorpora dados da solicitação é confinada pela função getSafeFilePath em packages/commons-server/src/libs/server/server.ts através da verificação resolvedPath.startsWith(staticBaseDir). Essa teste de prefixo não possui um limite de separador de caminho (path-separator), portanto, um caminho com escape ../ cuja forma absoluta começa com o mesmo prefixo do diretório base é considerada válida, permitindo que um cliente não autenticado leia arquivos de caminhos irmãos fora do diretório servido através de HTTP sendFile, WebSocket ou callbacks. Este problema foi corrigido na versão 9.7.0.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsável

GitHub M

Reservar

02/07/2026

Divulgação

09/07/2026

Moderação

aceite

Entrada

VDB-377279

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Interested in the pricing of exploits?

See the underground prices here!