Plataforma
nodejs
Componente
@mockoon/commons-server
Corrigido em
9.2.1
9.2.0
Uma vulnerabilidade de Path Traversal foi descoberta em @mockoon/commons-server, permitindo que atacantes acessem arquivos arbitrários no sistema de arquivos do servidor mock. Essa falha ocorre devido à manipulação inadequada de entradas do usuário ao servir arquivos estáticos. A vulnerabilidade afeta versões anteriores a 9.2.0 e foi publicada em 11 de março de 2025. A atualização para a versão 9.2.0 resolve a vulnerabilidade.
Um atacante pode explorar essa vulnerabilidade para ler arquivos confidenciais armazenados no mesmo sistema de arquivos que o servidor mock. Isso pode incluir arquivos de configuração, chaves de API, dados de usuários ou outros dados sensíveis. Em cenários de hospedagem em nuvem, o impacto pode ser ampliado, permitindo que o atacante obtenha acesso a informações de outros serviços ou instâncias na mesma infraestrutura. A exploração bem-sucedida pode levar à divulgação de informações confidenciais e comprometer a integridade do sistema.
A vulnerabilidade foi divulgada publicamente em 11 de março de 2025. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de um Proof of Concept (PoC) público é desconhecida.
Development teams using @mockoon/commons-server for API mocking, particularly those deploying mock APIs in cloud environments or shared hosting setups, are at risk. Legacy configurations that haven't been updated to the latest version are also vulnerable.
• nodejs / server:
find /path/to/mockoon/ -name '*sendFileWithCallback*' -type f• nodejs / server:
ps aux | grep -i mockoon | grep -i sendFileWithCallback• generic web:
Use curl to test for path traversal: curl 'http://your-mockoon-server/endpoint?filename=../../../../etc/passwd' (replace with your endpoint and server address).
disclosure
Status do Exploit
EPSS
1.91% (percentil 83%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar para a versão 9.2.0 de @mockoon/commons-server, que corrige a vulnerabilidade. Se a atualização imediata não for possível, implemente controles de acesso rigorosos para restringir o acesso aos arquivos servidos pelo servidor mock. Considere a utilização de um Web Application Firewall (WAF) para filtrar solicitações maliciosas e bloquear tentativas de Path Traversal. Monitore os logs do servidor em busca de padrões suspeitos, como solicitações para arquivos fora do diretório esperado.
Actualice Mockoon a la versión 9.2.0 o superior. Esta versión corrige la vulnerabilidad de Path Traversal y LFI en el endpoint de servicio de archivos estáticos. La actualización evitará que atacantes accedan a archivos arbitrarios en el sistema de archivos del servidor.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-59049 is a Path Traversal vulnerability in @mockoon/commons-server versions before 9.2.0, allowing attackers to read arbitrary files from the server's filesystem.
You are affected if you are using @mockoon/commons-server versions prior to 9.2.0. Check your installed version and upgrade immediately if necessary.
Upgrade to @mockoon/commons-server version 9.2.0 or later to resolve the vulnerability. Implement input validation as a temporary workaround.
There is currently no evidence of active exploitation, but public POCs could emerge, increasing the risk.
Refer to the official @mockoon project repository and release notes for the latest advisory and details on the fix.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.