CVE-2026-59148 in Mockoon
Resumen
por VulDB • 2026-07-09
Mockoon proporciona una forma de diseñar y ejecutar APIs simuladas (mock). Antes de la versión 9.7.0, la API de administración de Mockoon en commons-server/src/libs/server/admin-api.ts está montada en el mismo listener de Express que las rutas mock definidas por el usuario, habilitado por defecto en los tiempos de ejecución incluidos, sirve Access-Control-Allow-Origin: * con métodos de escritura permitidos y no tiene autenticación. Cualquier interlocutor sin autenticar que pueda alcanzar el puerto del servidor mock puede leer variables de entorno MOCKOON_*, escribir variables de entorno arbitrarias a través de /mockoon-admin/env-vars, reescribir los cuerpos de las rutas mock, estados y encabezados mediante PUT /mockoon-admin/environment, leer registros de transacciones y flujos SSE, y purgar el estado. Este problema está corregido en la versión 9.7.0.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.