CVE-2026-44478: जानकारी का रिसाव Hoppscotch में
प्लेटफ़ॉर्म
nodejs
घटक
hoppscotch
में ठीक किया गया
2026.4.0
Hoppscotch, एक ओपन-सोर्स API विकास इकोसिस्टम में एक भेद्यता पाई गई है जिसके कारण प्रमाणीकरण के बिना GET /v1/onboarding/config एंडपॉइंट बुनियादी ढांचे के रहस्यों को लीक किया जा सकता है। यह भेद्यता Hoppscotch के संस्करण 2025.7.0 से लेकर 2026.4.0 से पहले के संस्करणों को प्रभावित करती है। इस समस्या को 2026.4.0 संस्करण में ठीक किया गया है।
प्रभाव और हमले की स्थितियाँ
यह भेद्यता हमलावर को बुनियादी ढांचे के रहस्यों तक अनधिकृत पहुंच प्राप्त करने की अनुमति देती है, जो संवेदनशील डेटा तक पहुंच, सिस्टम कॉन्फ़िगरेशन को संशोधित करने या यहां तक कि सिस्टम को पूरी तरह से नियंत्रित करने की ओर ले जा सकती है। चूंकि एंडपॉइंट प्रमाणीकरण की आवश्यकता के बिना जानकारी लीक करता है, इसलिए हमलावर को किसी भी क्रेडेंशियल की आवश्यकता नहीं होती है, जिससे भेद्यता का शोषण करना आसान हो जाता है। यह विशेष रूप से उन वातावरणों में चिंताजनक है जहां Hoppscotch का उपयोग संवेदनशील API को विकसित और परीक्षण करने के लिए किया जाता है।
शोषण संदर्भ
यह CVE अभी तक KEV पर सूचीबद्ध नहीं है, लेकिन इसकी उच्च CVSS स्कोर इंगित करता है कि इसका शोषण किया जा सकता है। EPSS स्कोर अभी तक उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध POC अभी तक ज्ञात नहीं हैं। NVD और CISA ने इस भेद्यता के बारे में जानकारी प्रकाशित की है।
खतरा खुफिया
एक्सप्लॉइट स्थिति
CVSS वेक्टर
इन मेट्रिक्स का क्या मतलब है?
- Attack Vector
- नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
- Attack Complexity
- निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
- Privileges Required
- कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
- User Interaction
- कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
- Scope
- अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
- Confidentiality
- उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
- Integrity
- कोई नहीं — अखंडता पर कोई प्रभाव नहीं।
- Availability
- कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।
प्रभावित सॉफ्टवेयर
कमजोरी वर्गीकरण (CWE)
समयरेखा
- आरक्षित
- प्रकाशित
शमन और वर्कअराउंड
इस भेद्यता को कम करने के लिए, Hoppscotch को संस्करण 2026.4.0 में अपडेट करना आवश्यक है। यदि अपग्रेड करना संभव नहीं है, तो GET /v1/onboarding/config एंडपॉइंट तक पहुंच को ब्लॉक करने के लिए एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करने पर विचार करें। इसके अतिरिक्त, यह सुनिश्चित करना महत्वपूर्ण है कि ONBOARDINGRECOVERYTOKEN डेटाबेस में खाली स्ट्रिंग नहीं है। नियमित सुरक्षा ऑडिट और भेद्यता स्कैनिंग भी जोखिम को कम करने में मदद कर सकते हैं।
कैसे ठीक करेंअनुवाद हो रहा है…
Actualice Hoppscotch a la versión 2026.4.0 o posterior para mitigar esta vulnerabilidad. La versión corregida implementa una verificación adicional para evitar la divulgación de secretos de infraestructura a usuarios no autenticados.
अक्सर पूछे जाने वाले सवाल
CVE-2026-44478 — Hoppscotch में क्या है?
CVE-2026-44478 Hoppscotch में एक भेद्यता है जिसके कारण प्रमाणीकरण के बिना GET /v1/onboarding/config एंडपॉइंट बुनियादी ढांचे के रहस्यों को लीक किया जा सकता है।
क्या मैं CVE-2026-44478 से Hoppscotch में प्रभावित हूं?
यदि आप Hoppscotch के संस्करण 2025.7.0 से लेकर 2026.4.0 से पहले के संस्करणों का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
मैं CVE-2026-44478 को Hoppscotch में कैसे ठीक करूं?
Hoppscotch को संस्करण 2026.4.0 में अपडेट करके इस भेद्यता को ठीक करें।
क्या CVE-2026-44478 सक्रिय रूप से शोषण किया जा रहा है?
हालांकि सार्वजनिक POC अभी तक ज्ञात नहीं हैं, भेद्यता की गंभीरता को देखते हुए, यह संभव है कि इसका शोषण किया जा रहा हो।
मैं CVE-2026-44478 के लिए आधिकारिक Hoppscotch सलाहकार कहां पा सकता हूं?
Hoppscotch वेबसाइट पर CVE-2026-44478 के लिए आधिकारिक सलाहकार खोजें।
क्या आपका प्रोजेक्ट प्रभावित है?
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अभी आज़माएँ — no खाता
scanZone.subtitle
अपनी डिपेंडेंसी फ़ाइल ड्रैग और ड्रॉप करें
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...