Kostenlos scannen
HIGHCVE-2026-44478CVSS 7.5

CVE-2026-44478: Info Leak in Hoppscotch API Dev Tool

Plattform

nodejs

Komponente

hoppscotch

Behoben in

2026.4.0

Auf NVD ansehen
Speichern

CVE-2026-44478 is an information disclosure vulnerability affecting Hoppscotch versions 2025.7.0 through 2026.3.99. The vulnerability allows unauthenticated users to access infrastructure secrets in plaintext via the /v1/onboarding/config endpoint when the ONBOARDINGRECOVERYTOKEN is an empty string. The vulnerability has been fixed in version 2026.4.0 and is considered a high-severity risk.

Auswirkungen und Angriffsszenarien

Exploitation of CVE-2026-44478 can lead to the exposure of sensitive infrastructure secrets, such as database credentials, API keys, and other configuration data. This information can be used by attackers to gain unauthorized access to the Hoppscotch instance and potentially other systems connected to it. The impact is amplified if the Hoppscotch instance is used to manage sensitive API endpoints or data.

Ausnutzungskontext

CVE-2026-44478 has been published on 2026-05-13. The vulnerability's severity is rated as HIGH (7.5). This vulnerability addresses a previous fix (CVE-2026-28215) that was incomplete. No public exploits have been reported, but the ease of exploitation makes it a potential target.

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt
CISA KEVNO
Internet-ExponierungHoch
Berichte1 Bedrohungsbericht

CVSS-Vektor

BEDROHUNGSANALYSE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N7.5HIGHAttack VectorNetworkWie der Angreifer das Ziel erreichtAttack ComplexityLowBedingungen zur erfolgreichen AusnutzungPrivileges RequiredNoneErforderliche AuthentifizierungsstufeUser InteractionNoneOb ein Opfer eine Aktion ausführen mussScopeUnchangedAuswirkungen über die Komponente hinausConfidentialityHighRisiko der Offenlegung sensibler DatenIntegrityNoneRisiko nicht autorisierter DatenänderungAvailabilityNoneRisiko der Dienstunterbrechungnextguardhq.com · CVSS v3.1 Basis-Score
Was bedeuten diese Metriken?
Attack Vector
Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity
Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
Privileges Required
Keine — ohne Authentifizierung ausnutzbar. Keine Zugangsdaten erforderlich.
User Interaction
Keine — automatischer und lautloser Angriff. Das Opfer tut nichts.
Scope
Unverändert — Auswirkung auf das anfällige Komponente beschränkt.
Confidentiality
Hoch — vollständiger Vertraulichkeitsverlust. Angreifer kann alle Daten lesen.
Integrity
Keine — kein Integritätseinfluss.
Availability
Keine — kein Verfügbarkeitseinfluss.

Betroffene Software

Komponentehoppscotch
Herstellerhoppscotch
Mindestversion2025.7.0
Höchstversion>= 2025.7.0, < 2026.4.0
Behoben in2026.4.0

Schwachstellen-Klassifikation (CWE)

CWE-284CWE-287

Zeitleiste

  1. Reserviert
  2. Veröffentlicht

Mitigation und Workarounds

The primary mitigation for CVE-2026-44478 is to upgrade Hoppscotch to version 2026.4.0 or later. As an interim measure, ensure that the ONBOARDINGRECOVERYTOKEN is not an empty string. Implement access controls to restrict access to the /v1/onboarding/config endpoint. Monitor API traffic for suspicious requests to the vulnerable endpoint.

So behebenwird übersetzt…

Actualice Hoppscotch a la versión 2026.4.0 o posterior para mitigar esta vulnerabilidad. La versión corregida implementa una verificación adicional para evitar la divulgación de secretos de infraestructura a usuarios no autenticados.

Häufig gestellte Fragen

What is CVE-2026-44478 — Info Leak in Hoppscotch?

CVE-2026-44478 is a HIGH severity vulnerability in Hoppscotch exposing infrastructure secrets in plaintext to unauthenticated users. Affected versions are 2025.7.0–<2026.4.0.

Am I affected by CVE-2026-44478 in Hoppscotch?

If you are running Hoppscotch version 2025.7.0 through 2026.3.99, you are potentially affected. Check your version immediately.

How do I fix CVE-2026-44478 in Hoppscotch?

Upgrade Hoppscotch to version 2026.4.0 or later to resolve this vulnerability. Ensure the ONBOARDINGRECOVERYTOKEN is not empty as an interim measure.

Is CVE-2026-44478 being actively exploited?

No public exploits have been reported, but the ease of exploitation makes it a potential target.

Where can I find the official Hoppscotch advisory for CVE-2026-44478?

Refer to the official Hoppscotch repository or documentation for detailed information and updates: [https://github.com/hoppscotch/hoppscotch](https://github.com/hoppscotch/hoppscotch)

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannenCVEs suchen
liveKostenloser Scan

Jetzt testen — kein Konto

Laden Sie ein Manifest hoch (composer.lock, package-lock.json, WordPress Plugin-Liste…) oder fügen Sie Ihre Komponentenliste ein. Sie erhalten sofort einen Schwachstellenbericht. Das Hochladen einer Datei ist nur der Anfang: Mit einem Konto erhalten Sie kontinuierliche Überwachung, Slack/email-Benachrichtigungen, Multi-Projekt- und White-Label-Berichte.

Manueller ScanSlack/E-Mail-AlertsKontinuierliche ÜberwachungWhite-Label-Berichte

Abhängigkeitsdatei hier ablegen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...