प्लेटफ़ॉर्म
nodejs
घटक
@mockoon/commons-server
में ठीक किया गया
9.2.1
9.2.0
CVE-2025-59049 एक पथ पारगमन भेद्यता है जो @mockoon/commons-server में पाई गई है। यह भेद्यता हमलावरों को सर्वर फ़ाइल सिस्टम से मनमानी फ़ाइलें पढ़ने की अनुमति देती है, जिससे संवेदनशील जानकारी का खुलासा हो सकता है। यह भेद्यता @mockoon/commons-server के 9.2.0 से पहले के संस्करणों को प्रभावित करती है। इस समस्या को हल करने के लिए, नवीनतम संस्करण में अपडेट करें।
यह भेद्यता हमलावरों को @mockoon/commons-server सर्वर पर संग्रहीत किसी भी फ़ाइल तक अनधिकृत पहुंच प्राप्त करने की अनुमति देती है। इसमें कॉन्फ़िगरेशन फ़ाइलें, स्रोत कोड, या अन्य संवेदनशील डेटा शामिल हो सकते हैं। एक सफल शोषण से डेटा का उल्लंघन, सिस्टम समझौता, या अन्य दुर्भावनापूर्ण गतिविधियाँ हो सकती हैं। विशेष रूप से, क्लाउड-होस्टेड सर्वर इंस्टेंस इस भेद्यता के प्रति अधिक संवेदनशील हो सकते हैं क्योंकि फ़ाइल सिस्टम तक पहुंच अधिक आसानी से प्राप्त की जा सकती है। इस भेद्यता का उपयोग सर्वर पर अन्य कमजोरियों का फायदा उठाने के लिए भी किया जा सकता है, जिससे संभावित रूप से अधिक व्यापक समझौता हो सकता है।
CVE-2025-59049 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन भेद्यता की गंभीरता और आसानी से शोषण करने की क्षमता के कारण, भविष्य में शोषण की संभावना है। इस CVE को KEV में शामिल नहीं किया गया है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक ज्ञात नहीं हैं। NVD और CISA ने इस CVE के लिए तारीखें जारी की हैं: प्रकाशित: 2025-03-11।
Development teams using @mockoon/commons-server for API mocking, particularly those deploying mock APIs in cloud environments or shared hosting setups, are at risk. Legacy configurations that haven't been updated to the latest version are also vulnerable.
• nodejs / server:
find /path/to/mockoon/ -name '*sendFileWithCallback*' -type f• nodejs / server:
ps aux | grep -i mockoon | grep -i sendFileWithCallback• generic web:
Use curl to test for path traversal: curl 'http://your-mockoon-server/endpoint?filename=../../../../etc/passwd' (replace with your endpoint and server address).
disclosure
एक्सप्लॉइट स्थिति
EPSS
1.91% (83% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-59049 के लिए प्राथमिक शमन उपाय @mockoon/commons-server को संस्करण 9.2.0 या बाद के संस्करण में अपडेट करना है। यदि तत्काल अपडेट संभव नहीं है, तो फ़ाइल सिस्टम तक पहुंच को सीमित करने के लिए फ़ायरवॉल नियमों या एक्सेस कंट्रोल लिस्ट (ACL) का उपयोग करने पर विचार करें। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) को कॉन्फ़िगर किया जा सकता है ताकि पथ पारगमन हमलों का पता लगाया जा सके और उन्हें अवरुद्ध किया जा सके। नियमित रूप से लॉग की निगरानी करें और किसी भी असामान्य गतिविधि के लिए जांच करें जो इस भेद्यता के शोषण का संकेत दे सकती है।
Actualice Mockoon a la versión 9.2.0 o superior. Esta versión corrige la vulnerabilidad de Path Traversal y LFI en el endpoint de servicio de archivos estáticos. La actualización evitará que atacantes accedan a archivos arbitrarios en el sistema de archivos del servidor.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-59049 एक पथ पारगमन भेद्यता है जो @mockoon/commons-server में पाई गई है, जिससे हमलावर सर्वर फ़ाइल सिस्टम से मनमानी फ़ाइलें पढ़ सकते हैं।
यदि आप @mockoon/commons-server के संस्करण 9.2.0 से पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2025-59049 को ठीक करने के लिए, @mockoon/commons-server को संस्करण 9.2.0 या बाद के संस्करण में अपडेट करें।
CVE-2025-59049 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन भविष्य में शोषण की संभावना है।
कृपया @mockoon की वेबसाइट या GitHub रिपॉजिटरी पर आधिकारिक सलाहकार देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।