Hoppscotch — это экосистема разработки API с открытым исходным кодом. До версии 2026.2.0 запрос GraphQL userCollection принимал произвольный идентификатор коллекции и возвращал полные данные коллекции, включая заголовок, тип и сериализованное поле data, содержащее HTTP-запросы с заголовками и, возможно, секретами, любому аутентифицированному пользователю без проверки того, что запрашивающий пользователь владеет коллекцией. Это небезопасная прямая ссылка на объект (IDOR), вызванная отсутствием проверки авторизации, которая существует для каждой другой операции в том же преобразователе.
Версия 2026.2.0 устраняет проблему.
Показать оригинальное описание (EN)
hoppscotch is an open source API development ecosystem. Prior to version 2026.2.0, the `userCollection` GraphQL query accepts an arbitrary collection ID and returns the full collection data — including title, type, and the serialized `data` field containing HTTP requests with headers and potentially secrets — to any authenticated user, without verifying that the requesting user owns the collection. This is an Insecure Direct Object Reference (IDOR) caused by a missing authorization check that exists on every other operation in the same resolver. Version 2026.2.0 fixes the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Hoppscotch Hoppscotch
cpe:2.3:a:hoppscotch:hoppscotch:*:*:*:*:*:*:*:*
|
— |
2026.2.0
|