Scanner gratuitement
HIGHCVE-2026-44478CVSS 7.5

CVE-2026-44478: Info Disclosure in Hoppscotch API Dev

Plateforme

nodejs

Composant

hoppscotch

Corrigé dans

2026.4.0

Voir sur NVD
Sauvegarder

La vulnérabilité CVE-2026-44478 affecte Hoppscotch, un écosystème de développement d'API open source. Elle permet la divulgation d'informations sensibles, notamment des secrets d'infrastructure, à des utilisateurs non authentifiés. Cette faille est due à une absence de vérification appropriée de l'état d'intégration lorsque l'ONBOARDINGRECOVERYTOKEN est une chaîne vide. Elle affecte les versions de Hoppscotch comprises entre 2025.7.0 et 2026.4.0 (exclusivement). Une correction est disponible dans la version 2026.4.0.

Impact et Scénarios d'Attaque

Un attaquant non authentifié peut exploiter cette vulnérabilité pour accéder à des secrets d'infrastructure sensibles stockés dans la base de données de Hoppscotch. Ces secrets peuvent inclure des clés API, des mots de passe, des jetons d'authentification, ou d'autres informations confidentielles. La divulgation de ces secrets peut permettre à l'attaquant de compromettre d'autres systèmes et applications, de voler des données, ou de lancer d'autres attaques. La gravité de l'impact est amplifiée par le fait que la vulnérabilité est accessible à des utilisateurs non authentifiés.

Contexte d'Exploitation

La vulnérabilité CVE-2026-44478 n'est pas répertoriée sur KEV ou EPSS à ce jour. La probabilité d'exploitation est considérée comme faible en raison de la nécessité d'une connaissance de la vulnérabilité et de l'accès au point d'accès /v1/onboarding/config. Cependant, la gravité de l'impact potentiel justifie une attention particulière.

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu
CISA KEVNO
Exposition InternetÉlevée
Rapports1 rapport de menace

Vecteur CVSS

RENSEIGNEMENT SUR LES MENACES· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N7.5HIGHAttack VectorNetworkComment l'attaquant atteint la cibleAttack ComplexityLowConditions requises pour exploiterPrivileges RequiredNoneNiveau d'authentification requisUser InteractionNoneSi une action de la victime est requiseScopeUnchangedImpact au-delà du composant affectéConfidentialityHighRisque d'exposition de données sensiblesIntegrityNoneRisque de modification non autorisée de donnéesAvailabilityNoneRisque d'interruption de servicenextguardhq.com · Score de base CVSS v3.1
Que signifient ces métriques?
Attack Vector
Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity
Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required
Aucun — sans authentification. Aucune identifiant requis pour exploiter.
User Interaction
Aucune — attaque automatique et silencieuse. La victime ne fait rien.
Scope
Inchangé — impact limité au composant vulnérable.
Confidentiality
Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
Integrity
Aucun — aucun impact sur l'intégrité.
Availability
Aucun — aucun impact sur la disponibilité.

Logiciel Affecté

Composanthoppscotch
Fournisseurhoppscotch
Version minimale2025.7.0
Version maximale>= 2025.7.0, < 2026.4.0
Corrigé dans2026.4.0

Classification de Faiblesse (CWE)

CWE-284CWE-287

Chronologie

  1. Réservé
  2. Publiée

Mitigation et Contournements

La mesure de mitigation principale est de mettre à jour Hoppscotch vers la version 2026.4.0 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de restreindre l'accès au point d'accès /v1/onboarding/config ou de s'assurer que l'ONBOARDINGRECOVERYTOKEN n'est jamais une chaîne vide. Vérifiez également la configuration de la base de données pour vous assurer que les secrets sont correctement chiffrés et protégés. Après la mise à jour, vérifiez que l'accès au point d'accès /v1/onboarding/config est correctement restreint aux utilisateurs authentifiés.

Comment corrigertraduction en cours…

Actualice Hoppscotch a la versión 2026.4.0 o posterior para mitigar esta vulnerabilidad. La versión corregida implementa una verificación adicional para evitar la divulgación de secretos de infraestructura a usuarios no autenticados.

Questions fréquentes

Que signifie CVE-2026-44478 — Info Disclosure dans Hoppscotch ?

CVE-2026-44478 est une vulnérabilité de divulgation d'informations dans Hoppscotch, permettant à un attaquant non authentifié d'accéder à des secrets d'infrastructure sensibles. Elle est classée comme de haute gravité (CVSS: 7.5).

Suis-je affecté par CVE-2026-44478 dans Hoppscotch ?

Vous êtes affecté si vous utilisez une version de Hoppscotch comprise entre 2025.7.0 et 2026.4.0 (exclusivement). Vérifiez votre version et mettez à jour dès que possible.

Comment corriger CVE-2026-44478 dans Hoppscotch ?

Mettez à jour Hoppscotch vers la version 2026.4.0 ou supérieure. Restreignez l'accès au point d'accès /v1/onboarding/config en attendant la mise à jour.

CVE-2026-44478 est-il activement exploité ?

À ce jour, il n'y a pas de preuves d'exploitation active de CVE-2026-44478, mais la vulnérabilité est préoccupante.

Où puis-je trouver l'avis officiel de Hoppscotch pour CVE-2026-44478 ?

Consultez l'avis de sécurité officiel de Hoppscotch sur leur site web ou leur dépôt GitHub.

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitementRechercher des CVE
en directfree scan

Essayez maintenant — sans compte

scanZone.subtitle

Scan manuelSlack/email alertsContinuous monitoringWhite-label reports

Glissez-déposez votre fichier de dépendances

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...