Plateforme
nodejs
Composant
@mockoon/commons-server
Corrigé dans
9.2.1
9.2.0
La vulnérabilité CVE-2025-59049 est une faille de traversal de chemin (Path Traversal) découverte dans la bibliothèque @mockoon/commons-server. Cette faille permet à un attaquant de lire des fichiers arbitraires sur le système de fichiers du serveur, compromettant potentiellement des données sensibles. Elle affecte les versions antérieures à 9.2.0 et peut être particulièrement critique dans les environnements serveur hébergés dans le cloud. Une mise à jour vers la version 9.2.0 est recommandée.
Un attaquant exploitant cette vulnérabilité peut contourner les contrôles d'accès et accéder à des fichiers sensibles stockés sur le serveur @mockoon/commons-server. Cela inclut potentiellement des fichiers de configuration, des clés API, des données de session ou d'autres informations confidentielles. L'attaquant pourrait également modifier des fichiers, ce qui pourrait entraîner une dégradation du service ou une compromission plus large du système. La vulnérabilité est exacerbée dans les environnements cloud où les serveurs sont souvent configurés avec des permissions plus larges, augmentant ainsi la surface d'attaque. Bien que la description ne mentionne pas d'exploitation active, la nature de la vulnérabilité (Path Traversal) la rend facilement exploitable et potentiellement visée par des acteurs malveillants.
La vulnérabilité CVE-2025-59049 a été divulguée publiquement le 2025-03-11. Il n'y a pas d'indication d'une inscription sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. Bien qu'aucun proof-of-concept public n'ait été largement diffusé, la nature simple de la vulnérabilité de traversal de chemin suggère qu'un tel PoC pourrait être développé rapidement. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la facilité d'exploitation et de la disponibilité potentielle d'un PoC.
Development teams using @mockoon/commons-server for API mocking, particularly those deploying mock APIs in cloud environments or shared hosting setups, are at risk. Legacy configurations that haven't been updated to the latest version are also vulnerable.
• nodejs / server:
find /path/to/mockoon/ -name '*sendFileWithCallback*' -type f• nodejs / server:
ps aux | grep -i mockoon | grep -i sendFileWithCallback• generic web:
Use curl to test for path traversal: curl 'http://your-mockoon-server/endpoint?filename=../../../../etc/passwd' (replace with your endpoint and server address).
disclosure
Statut de l'Exploit
EPSS
1.91% (percentile 83%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace est de mettre à jour @mockoon/commons-server vers la version 9.2.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures d'atténuation peuvent être mises en place. Il est crucial de restreindre les permissions du processus @mockoon/commons-server pour limiter l'accès aux fichiers du système. L'implémentation de règles de pare-feu d'application web (WAF) peut aider à bloquer les requêtes malveillantes tentant d'exploiter la vulnérabilité. Vérifiez également les configurations de votre serveur pour vous assurer qu'il n'y a pas d'autres vulnérabilités qui pourraient être exploitées en conjonction avec cette faille. Après la mise à jour, vérifiez l'intégrité des fichiers et la configuration du serveur pour confirmer que la vulnérabilité a été corrigée.
Actualice Mockoon a la versión 9.2.0 o superior. Esta versión corrige la vulnerabilidad de Path Traversal y LFI en el endpoint de servicio de archivos estáticos. La actualización evitará que atacantes accedan a archivos arbitrarios en el sistema de archivos del servidor.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-59049 is a Path Traversal vulnerability in @mockoon/commons-server versions before 9.2.0, allowing attackers to read arbitrary files from the server's filesystem.
You are affected if you are using @mockoon/commons-server versions prior to 9.2.0. Check your installed version and upgrade immediately if necessary.
Upgrade to @mockoon/commons-server version 9.2.0 or later to resolve the vulnerability. Implement input validation as a temporary workaround.
There is currently no evidence of active exploitation, but public POCs could emerge, increasing the risk.
Refer to the official @mockoon project repository and release notes for the latest advisory and details on the fix.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.