CVE-2026-59148 in Mockoon
要約
〜によって VulDB • 2026年07月10日
Mockoonは、モックAPIの設計と実行を行うための手段を提供します。バージョン9.7.0より前では、commons-server/src/libs/server/admin-api.tsにあるMockoonの管理用APIが、ユーザー定義のモックルートと同じExpressリスナーにマウントされており、出荷時のランタイムでデフォルト有効になっています。このAPIはAccess-Control-Allow-Origin: *を返し、書き込みメソッドの使用が可能であり、認証がありません。モックサーバーポートに到達できる認証されていない呼び出し元であれば、MOCKOON_*環境変数の読み取り、/mockoon-admin/env-varsを通じた任意のプロセス環境変数への書き込み、PUT /mockoon-admin/environmentによるモックルートの本文・ステータス・ヘッダーの書き換え、トランザクションログおよびSSEストリームの読み取り、状態のパージを行うことができます。この問題はバージョン9.7.0で修正されました。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.