Platform
nodejs
Component
@mockoon/commons-server
Opgelost in
9.2.1
9.2.0
CVE-2025-59049 beschrijft een Path Traversal kwetsbaarheid in de @mockoon/commons-server, een component van Mockoon. Deze kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden op de server te benaderen via manipulatie van gebruikersinvoer in de configuratie van de mock API. De kwetsbaarheid treft versies van @mockoon/commons-server die ouder zijn dan 9.2.0. Een update naar de nieuwste versie is beschikbaar om dit probleem te verhelpen.
De Path Traversal kwetsbaarheid in @mockoon/commons-server maakt het mogelijk voor een aanvaller om toegang te krijgen tot gevoelige bestanden op de server waarop Mockoon draait. Dit kan leiden tot blootstelling van configuratiebestanden, API-sleutels, of andere vertrouwelijke informatie. In cloud-gehoste omgevingen kan dit de impact aanzienlijk vergroten, omdat de aanvaller mogelijk toegang krijgt tot de volledige serveromgeving. Het misbruik van deze kwetsbaarheid kan leiden tot data-exfiltratie, compromittering van de server, en potentieel verdere toegang tot andere systemen binnen het netwerk.
Er is momenteel geen publieke exploitatie van CVE-2025-59049 bekend. De kwetsbaarheid is openbaar gemaakt op 2025-03-11. De impact kan aanzienlijk zijn, vooral in cloud-gehoste omgevingen. Het is aan te raden om de kwetsbaarheid te patchen om verdere misbruik te voorkomen.
Development teams using @mockoon/commons-server for API mocking, particularly those deploying mock APIs in cloud environments or shared hosting setups, are at risk. Legacy configurations that haven't been updated to the latest version are also vulnerable.
• nodejs / server:
find /path/to/mockoon/ -name '*sendFileWithCallback*' -type f• nodejs / server:
ps aux | grep -i mockoon | grep -i sendFileWithCallback• generic web:
Use curl to test for path traversal: curl 'http://your-mockoon-server/endpoint?filename=../../../../etc/passwd' (replace with your endpoint and server address).
disclosure
Exploit Status
EPSS
1.91% (83% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-59049 is het upgraden van @mockoon/commons-server naar versie 9.2.0 of hoger. Indien een directe upgrade niet mogelijk is, kan het beperken van de toegestane bestanden die via de mock API kunnen worden geserveerd een tijdelijke oplossing bieden. Controleer de configuratie van Mockoon om te verzekeren dat er geen onnodige paden worden blootgesteld. Implementeer een Web Application Firewall (WAF) met regels die pogingen tot path traversal detecteren en blokkeren. Na de upgrade, bevestig de correcte werking door te proberen een bestand buiten de toegestane directory te benaderen via de mock API; dit zou een foutmelding moeten opleveren.
Actualice Mockoon a la versión 9.2.0 o superior. Esta versión corrige la vulnerabilidad de Path Traversal y LFI en el endpoint de servicio de archivos estáticos. La actualización evitará que atacantes accedan a archivos arbitrarios en el sistema de archivos del servidor.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-59049 is a Path Traversal vulnerability in @mockoon/commons-server versions before 9.2.0, allowing attackers to read arbitrary files from the server's filesystem.
You are affected if you are using @mockoon/commons-server versions prior to 9.2.0. Check your installed version and upgrade immediately if necessary.
Upgrade to @mockoon/commons-server version 9.2.0 or later to resolve the vulnerability. Implement input validation as a temporary workaround.
There is currently no evidence of active exploitation, but public POCs could emerge, increasing the risk.
Refer to the official @mockoon project repository and release notes for the latest advisory and details on the fix.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.