CVE-2026-59148 in Mockoon
Zusammenfassung
von VulDB • 09.07.2026
Mockoon bietet eine Möglichkeit zum Entwerfen und Ausführen von Mock-APIs. Vor Version 9.7.0 ist die Admin-API von Mockoon in commons-server/src/libs/server/admin-api.ts am selben Express-Listener wie benutzerdefinierte Mock-Routen registriert, standardmäßig in ausgelieferten Laufzeitumgebungen aktiviert, sendet Access-Control-Allow-Origin: * und erlaubt Schreibmethoden ohne Authentifizierung. Jeder nicht authentifizierte Aufrufer, der den Port des Mock-Servers erreichen kann, kann MOCKOON_*-Umgebungsvariablen lesen, beliebige Prozess-Umgebungsvariablen über /mockoon-admin/env-vars schreiben, die Körper, Statuscodes und Header von Mock-Routen durch PUT /mockoon-admin/environment überschreiben sowie Transaktionsprotokolle und SSE-Streams (Server-Sent Events) lesen und den Zustand löschen. Dieses Problem wurde in Version 9.7.0 behoben.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.