Mockoon には、静的ファイル提供エンドポイントで Path Traversal と LFI が存在します

この脆弱性は、攻撃者がMockoonサーバーのファイルシステム上の機密情報を含むファイルを読み取ることを可能にします。例えば、設定ファイル、APIキー、または他の機密データが漏洩する可能性があります。クラウドホスト環境では、この脆弱性が悪用されると、他のインスタンスへの横展開も考えられます。攻撃者は、サーバーのファイル構造を把握し、重要なファイルを特定するために、この脆弱性を利用して情報を収集する可能性があります。この脆弱性は、類似のファイルアクセス脆弱性と同様に、機密情報の漏洩や、さらなる攻撃への足がかりとして悪用される可能性があります。

Development teams using @mockoon/commons-server for API mocking, particularly those deploying mock APIs in cloud environments or shared hosting setups, are at risk. Legacy configurations that haven't been updated to the latest version are also vulnerable.

• nodejs / server:

  find /path/to/mockoon/ -name '*sendFileWithCallback*' -type f

• nodejs / server:

  ps aux | grep -i mockoon | grep -i sendFileWithCallback

• generic web: Use curl to test for path traversal: curl 'http://your-mockoon-server/endpoint?filename=../../../../etc/passwd' (replace with your endpoint and server address).

1. 2025-03-11Disclosure

   disclosure

1. 予約済み2025-09-08
2. 公開日2025-03-11
3. 更新日2025-09-13
4. EPSS 更新日2026-03-23

この脆弱性への最も効果的な対策は、@mockoon/commons-serverをバージョン9.2.0にアップデートすることです。アップグレードが困難な場合は、一時的な回避策として、静的ファイル提供機能の使用を制限するか、ユーザー入力を厳密に検証するカスタムフィルタを追加することを検討してください。また、WAF（Web Application Firewall）を導入し、パストラバーサル攻撃を検知・防御するルールを設定することも有効です。ファイルアクセスログを監視し、異常なアクセスパターンを検出することも重要です。アップデート後、ファイルアクセス権限を確認し、不要なファイルへのアクセスを制限することで、セキュリティを強化できます。