Plataforma
nodejs
Componente
@mockoon/commons-server
Corregido en
9.2.1
9.2.0
La vulnerabilidad CVE-2025-59049 es un fallo de Path Traversal descubierto en la biblioteca @mockoon/commons-server. Esta vulnerabilidad permite a un atacante acceder a archivos arbitrarios en el sistema de archivos del servidor, comprometiendo la confidencialidad de los datos. Afecta a versiones anteriores a 9.2.0 y se recomienda actualizar a la última versión para mitigar el riesgo.
Un atacante que explote esta vulnerabilidad puede leer cualquier archivo al que tenga acceso el proceso del servidor @mockoon/commons-server. Esto incluye archivos de configuración, claves API, datos sensibles almacenados localmente y potencialmente incluso código fuente. El impacto es particularmente grave en entornos de nube, donde el acceso a los archivos del servidor podría permitir la exfiltración de datos confidenciales o la ejecución de código malicioso. La capacidad de leer archivos arbitrarios abre la puerta a una amplia gama de ataques, desde la recopilación de información para ataques posteriores hasta la modificación de la configuración del servidor.
La vulnerabilidad CVE-2025-59049 fue publicada el 11 de marzo de 2025. No se ha añadido a KEV a la fecha. No se conocen públicamente pruebas de concepto (PoC) activas, pero la naturaleza de Path Traversal hace que la explotación sea relativamente sencilla una vez identificada. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación.
Development teams using @mockoon/commons-server for API mocking, particularly those deploying mock APIs in cloud environments or shared hosting setups, are at risk. Legacy configurations that haven't been updated to the latest version are also vulnerable.
• nodejs / server:
find /path/to/mockoon/ -name '*sendFileWithCallback*' -type f• nodejs / server:
ps aux | grep -i mockoon | grep -i sendFileWithCallback• generic web:
Use curl to test for path traversal: curl 'http://your-mockoon-server/endpoint?filename=../../../../etc/passwd' (replace with your endpoint and server address).
disclosure
Estado del Exploit
EPSS
1.91% (83% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar a la versión 9.2.0 o superior de @mockoon/commons-server, que corrige esta vulnerabilidad. Si la actualización no es inmediatamente posible, considere implementar medidas de mitigación como restringir el acceso al servidor, implementar controles de acceso basados en roles y monitorear los registros del servidor en busca de actividad sospechosa. Además, revise la configuración de la aplicación para asegurar que las rutas de los archivos se validen y saniticen adecuadamente. Después de la actualización, confirme la corrección revisando los registros del servidor y realizando pruebas de penetración para verificar que el acceso a archivos arbitrarios ha sido bloqueado.
Actualice Mockoon a la versión 9.2.0 o superior. Esta versión corrige la vulnerabilidad de Path Traversal y LFI en el endpoint de servicio de archivos estáticos. La actualización evitará que atacantes accedan a archivos arbitrarios en el sistema de archivos del servidor.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-59049 is a Path Traversal vulnerability in @mockoon/commons-server versions before 9.2.0, allowing attackers to read arbitrary files from the server's filesystem.
You are affected if you are using @mockoon/commons-server versions prior to 9.2.0. Check your installed version and upgrade immediately if necessary.
Upgrade to @mockoon/commons-server version 9.2.0 or later to resolve the vulnerability. Implement input validation as a temporary workaround.
There is currently no evidence of active exploitation, but public POCs could emerge, increasing the risk.
Refer to the official @mockoon project repository and release notes for the latest advisory and details on the fix.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.