anonhaven

CVE-2026-28215

CRITICAL CVSS 3.1: 9,1 EPSS 0.28%
Обновлено 27 февраля 2026
Hoppscotch
Параметр Значение
CVSS 9,1 (CRITICAL)
Уязвимые версии до 2026.2.0
Устранено в версии 2026.2.0
Тип уязвимости CWE-284 (Неправильный контроль доступа), CWE-287 (Неправильная аутентификация)
Поставщик Hoppscotch
Публичный эксплойт Нет

Hoppscotch — это экосистема разработки API с открытым исходным кодом. До версии 2026.2.0 злоумышленник, не прошедший проверку подлинности, мог перезаписать всю конфигурацию инфраструктуры локального экземпляра Hoppscotch, включая учетные данные поставщика OAuth и настройки SMTP, отправив один HTTP-запрос POST без аутентификации. Конечная точка POST /v1/onboarding/config не имеет защиты аутентификации и не проверяет, завершена ли регистрация.

Успешный эксплойт позволяет злоумышленнику заменить учетные данные приложения OAuth Google/GitHub/Microsoft на свои собственные, в результате чего все последующие входы пользователей через SSO проходят аутентификацию в приложении OAuth злоумышленника. Злоумышленник перехватывает токены OAuth и адреса электронной почты каждого пользователя, который входит в систему после эксплойта. Кроме того, конечная точка возвращает токен восстановления, который можно использовать для чтения всех сохраненных секретов в виде открытого текста, включая пароли SMTP и любые другие настроенные учетные данные.

Версия 2026.2.0 устраняет проблему.

Показать оригинальное описание (EN)

hoppscotch is an open source API development ecosystem. Prior to version 2026.2.0, an unauthenticated attacker can overwrite the entire infrastructure configuration of a self-hosted Hoppscotch instance including OAuth provider credentials and SMTP settings by sending a single HTTP POST request with no authentication. The endpoint POST /v1/onboarding/config has no authentication guard and performs no check on whether onboarding was already completed. A successful exploit allows the attacker to replace the instance's Google/GitHub/Microsoft OAuth application credentials with their own, causing all subsequent user logins via SSO to authenticate against the attacker's OAuth app. The attacker captures OAuth tokens and email addresses of every user who logs in after the exploit. Additionally, the endpoint returns a recovery token that can be used to read all stored secrets in plaintext, including SMTP passwords and any other configured credentials. Version 2026.2.0 fixes the issue.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-284 Improper Access Control (Неправильный контроль доступа)
CWE-287 Improper Authentication (Неправильная аутентификация)

Уязвимые продукты 1

Конфигурация От (включительно) До (исключительно)
Hoppscotch Hoppscotch
cpe:2.3:a:hoppscotch:hoppscotch:*:*:*:*:*:*:*:*
 2026.2.0

Ссылки 2

https://github.com/hoppscotch/hoppscotch/releases/tag/2026.2.0
security-advisories@github.com
https://github.com/hoppscotch/hoppscotch/security/advisories/GHSA-jwv8-867r-q9fg
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-28217

Hoppscotch

6,5

CVE-2026-28216

Hoppscotch

8,3