CVE-2026-59148 in Mockoonالمعلومات

الملخص

بحسب VulDB • 10/07/2026

توفر Mockoon طريقة لتصميم وتشغيل واجهات برمجة تطبيقات وهمية (Mock APIs). قبل الإصدار 9.7.0، كانت واجهة برمجة التطبيقات الإدارية لـ Mockoon الموجودة في commons-server/src/libs/server/admin-api.ts مُثبتة على نفس مستمع Express الخاص بالمسارات الوهمية المحددة من قِبل المستخدم، وهي مفعّلة افتراضياً في وقت التشغيل المرفق، وتُعيد قيمة Access-Control-Allow-Origin: * مع السماح بطرق الكتابة (write methods)، ولا تحتوي على أي آلية للمصادقة. يمكن لأي متصل غير مُصرح له الوصول إلى منفذ الخادم الوهمي قراءة المتغيرات البيئية MOCKOON_*، وكتابة متغيرات بيئة العملية بشكل تعسفي عبر /mockoon-admin/env-vars، وإعادة كتابة أجسام المسارات الوهمية وحالاتها (statuses) وعناوينها (headers) عبر PUT /mockoon-admin/environment، وقراءة سجلات المعاملات وتدفقات SSE، ومسح الحالة. تم إصلاح هذه المشكلة في الإصدار 9.7.0.

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

GitHub M

حجز

02/07/2026

إفشاء

09/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-377278

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you need the next level of professionalism?

Upgrade your account now!