Escanear gratis
HIGHCVE-2026-44478CVSS 7.5

CVE-2026-44478: Info Leak in Hoppscotch

Plataforma

nodejs

Componente

hoppscotch

Corregido en

2026.4.0

Ver en NVD
Guardar

La vulnerabilidad CVE-2026-44478 es una fuga de información presente en Hoppscotch, un ecosistema de desarrollo de API. Aunque una corrección previa (CVE-2026-28215) abordó la sobreescritura de la configuración, el endpoint GET /v1/onboarding/config aún revela secretos de infraestructura en texto plano a usuarios no autenticados si el token de recuperación de incorporación está vacío. La vulnerabilidad afecta a las versiones 2025.7.0 hasta la 2026.3.9 y ha sido solucionada en la versión 2026.4.0.

Impacto y Escenarios de Ataque

Un atacante que explote esta vulnerabilidad puede obtener acceso a secretos de infraestructura críticos, como claves API, contraseñas y otros datos confidenciales. Esta información podría ser utilizada para comprometer la seguridad de la aplicación Hoppscotch y los sistemas a los que se conecta. La fuga de información permite a un atacante obtener una visión completa de la infraestructura subyacente, facilitando la planificación y ejecución de ataques más sofisticados. La vulnerabilidad se debe a una falta de validación adecuada de la autenticación antes de exponer la información sensible.

Contexto de Explotación

La vulnerabilidad CVE-2026-44478 ha sido publicada recientemente (2026-05-13) y su probabilidad de explotación es considerada alta debido a la facilidad de explotación y la sensibilidad de la información expuesta. No se han reportado campañas de explotación activas en este momento, pero la disponibilidad de la información técnica podría llevar a su explotación en el futuro. Se recomienda monitorear activamente los sistemas Hoppscotch para detectar cualquier actividad sospechosa.

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO
Exposición en InternetAlta
Informes1 informe de amenaza

Vector CVSS

INTELIGENCIA DE AMENAZAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N7.5HIGHAttack VectorNetworkCómo el atacante alcanza el objetivoAttack ComplexityLowCondiciones necesarias para explotarPrivileges RequiredNoneNivel de autenticación requeridoUser InteractionNoneSi la víctima debe realizar una acciónScopeUnchangedImpacto más allá del componente afectadoConfidentialityHighRiesgo de exposición de datos sensiblesIntegrityNoneRiesgo de modificación no autorizada de datosAvailabilityNoneRiesgo de interrupción del servicionextguardhq.com · Puntuación Base CVSS v3.1
¿Qué significan estas métricas?
Attack Vector
Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
Attack Complexity
Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
Privileges Required
Ninguno — sin autenticación. No se necesitan credenciales para explotar.
User Interaction
Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
Scope
Sin cambio — el impacto se limita al componente vulnerable.
Confidentiality
Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
Integrity
Ninguno — sin impacto en integridad.
Availability
Ninguno — sin impacto en disponibilidad.

Software Afectado

Componentehoppscotch
Proveedorhoppscotch
Versión mínima2025.7.0
Versión máxima>= 2025.7.0, < 2026.4.0
Corregido en2026.4.0

Clasificación de Debilidad (CWE)

CWE-284CWE-287

Cronología

  1. Reservado
  2. Publicada

Mitigación y Workarounds

La mitigación principal para CVE-2026-44478 es actualizar Hoppscotch a la versión 2026.4.0 o superior. Como medida temporal, se puede implementar un firewall de aplicaciones web (WAF) para bloquear el acceso no autorizado al endpoint /v1/onboarding/config. Además, se recomienda revisar la configuración de Hoppscotch y asegurarse de que el token de recuperación de incorporación esté configurado correctamente y no esté vacío. Después de la actualización, verifique que el endpoint /v1/onboarding/config requiera autenticación.

Cómo corregirlotraduciendo…

Actualice Hoppscotch a la versión 2026.4.0 o posterior para mitigar esta vulnerabilidad. La versión corregida implementa una verificación adicional para evitar la divulgación de secretos de infraestructura a usuarios no autenticados.

Preguntas frecuentes

What is CVE-2026-44478 — Info Leak in Hoppscotch?

CVE-2026-44478 es una vulnerabilidad que permite a usuarios no autenticados acceder a secretos de infraestructura en Hoppscotch a través del endpoint /v1/onboarding/config.

Am I affected by CVE-2026-44478 in Hoppscotch?

Si está utilizando Hoppscotch en las versiones 2025.7.0 hasta la 2026.3.9, es vulnerable a esta vulnerabilidad.

How do I fix CVE-2026-44478 in Hoppscotch?

Actualice Hoppscotch a la versión 2026.4.0 o superior para solucionar esta vulnerabilidad.

Is CVE-2026-44478 being actively exploited?

Aunque no se han reportado campañas de explotación activas, la vulnerabilidad es crítica y podría ser explotada en el futuro.

Where can I find the official Hoppscotch advisory for CVE-2026-44478?

Consulte el sitio web oficial de Hoppscotch o su repositorio de GitHub para obtener la información más reciente sobre esta vulnerabilidad.

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs
liveescaneo gratuito

Pruébalo ahora — sin cuenta

Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.

Escaneo manualAlertas en Slack/emailMonitoreo continuoReportes white-label

Arrastra y suelta tu archivo de dependencias

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...