平台
nodejs
组件
@mockoon/commons-server
修复版本
9.2.1
9.2.0
CVE-2025-59049 是 @mockoon/commons-server 中的路径遍历漏洞。此漏洞允许攻击者通过操纵用户输入来访问服务器文件系统中的任意文件,可能导致敏感信息泄露。该漏洞影响 9.2.0 之前的版本,建议用户尽快升级至 9.2.0 以修复此问题。
攻击者可以利用此路径遍历漏洞读取服务器文件系统中的任意文件。这可能包括配置文件、源代码、数据库凭据或其他敏感数据。在云托管服务器实例中,此漏洞的潜在影响尤为严重,因为攻击者可能能够完全控制服务器。攻击者可以利用此漏洞获取敏感信息,并可能进一步利用这些信息进行横向移动或执行恶意代码。
目前尚无公开的漏洞利用程序 (PoC),但该漏洞的潜在影响较高。由于该漏洞允许攻击者读取任意文件,因此可能被积极利用。该漏洞已于 2025 年 3 月 11 日公开,建议用户尽快采取措施。
Development teams using @mockoon/commons-server for API mocking, particularly those deploying mock APIs in cloud environments or shared hosting setups, are at risk. Legacy configurations that haven't been updated to the latest version are also vulnerable.
• nodejs / server:
find /path/to/mockoon/ -name '*sendFileWithCallback*' -type f• nodejs / server:
ps aux | grep -i mockoon | grep -i sendFileWithCallback• generic web:
Use curl to test for path traversal: curl 'http://your-mockoon-server/endpoint?filename=../../../../etc/passwd' (replace with your endpoint and server address).
disclosure
漏洞利用状态
EPSS
1.91% (83% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即升级至 @mockoon/commons-server 9.2.0 或更高版本。如果无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 或代理服务器来过滤恶意请求,并阻止对敏感文件的访问。此外,应审查 mockoon 配置文件,确保没有暴露敏感信息。验证升级后,检查服务器文件系统权限,确保只有授权用户才能访问敏感文件。
Actualice Mockoon a la versión 9.2.0 o superior. Esta versión corrige la vulnerabilidad de Path Traversal y LFI en el endpoint de servicio de archivos estáticos. La actualización evitará que atacantes accedan a archivos arbitrarios en el sistema de archivos del servidor.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-59049 是 @mockoon/commons-server 中发现的路径遍历漏洞,允许攻击者读取服务器文件系统中的任意文件。
如果您正在使用 @mockoon/commons-server 的 9.2.0 之前的版本,则可能受到此漏洞的影响。
立即升级至 @mockoon/commons-server 9.2.0 或更高版本。如果无法升级,请采取缓解措施,例如使用 WAF 或审查配置文件。
目前尚无公开的漏洞利用程序,但由于该漏洞的潜在影响较高,因此可能被积极利用。
请查阅 @mockoon 官方网站或 GitHub 仓库获取相关公告和更新信息。