無料スキャン
HIGHCVE-2026-44478CVSS 7.5

CVE-2026-44478: Info Leak in Hoppscotch API Dev Tool

プラットフォーム

nodejs

コンポーネント

hoppscotch

修正版

2026.4.0

NVDで見る
保存

Hoppscotchは、オープンソースのAPI開発エコシステムです。この脆弱性(CVE-2026-44478)は、バージョン2025.7.0から2026.4.0未満のHoppscotchにおいて、認証されていないユーザーがGET /v1/onboarding/configエンドポイントを通じてインフラストラクチャの機密情報をプレーンテキストで漏洩させる脆弱性です。この脆弱性は、バージョン2026.4.0で修正されています。

影響と攻撃シナリオ

攻撃者は、この脆弱性を悪用することで、Hoppscotchのインフラストラクチャの機密情報を取得し、APIキー、データベース接続情報、その他の重要な認証情報を盗む可能性があります。これらの情報は、APIへの不正アクセス、データの改ざん、さらにはシステム全体の制御奪取に悪用される可能性があります。特に、Hoppscotchが機密性の高いデータを扱うAPI開発に使用されている場合、この脆弱性の影響は甚大です。

悪用の状況

この脆弱性は、認証不要であるため、攻撃者は容易に悪用できる可能性があります。公開されているエクスプロイトコードが存在する可能性があり、攻撃者はそれを利用して機密情報を盗む可能性があります。NVDおよびCISAの公開日を確認し、最新の情報を把握してください。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出
レポート1 脅威レポート

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N7.5HIGHAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredNone攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeUnchanged影響コンポーネント外への波及ConfidentialityHigh機密データ漏洩のリスクIntegrityNone不正データ改ざんのリスクAvailabilityNoneサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
なし — 認証不要。資格情報なしで悪用可能。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality
高 — 機密性の完全喪失。全データが読み取り可能。
Integrity
なし — 完全性への影響なし。
Availability
なし — 可用性への影響なし。

影響を受けるソフトウェア

コンポーネントhoppscotch
ベンダーhoppscotch
最小バージョン2025.7.0
最大バージョン>= 2025.7.0, < 2026.4.0
修正版2026.4.0

弱点分類 (CWE)

CWE-284CWE-287

タイムライン

  1. 予約済み
  2. 公開日

緩和策と回避策

この脆弱性への最良の対応策は、Hoppscotchをバージョン2026.4.0にアップグレードすることです。アップグレードがシステムに影響を与える場合は、以前の安定バージョンにロールバックすることを検討してください。WAFやプロキシサーバーを使用している場合は、GET /v1/onboarding/configエンドポイントへのアクセスを制限するルールを実装することを推奨します。また、データベースのアクセス権限を適切に管理し、不要な権限を削除することで、攻撃のリスクを軽減できます。

修正方法翻訳中…

Actualice Hoppscotch a la versión 2026.4.0 o posterior para mitigar esta vulnerabilidad. La versión corregida implementa una verificación adicional para evitar la divulgación de secretos de infraestructura a usuarios no autenticados.

よくある質問

CVE-2026-44478 — Info Leak in Hoppscotchとは何ですか?

CVE-2026-44478は、Hoppscotch API開発ツールにおいて、認証されていないユーザーがインフラストラクチャの機密情報をプレーンテキストで漏洩させる脆弱性です。

CVE-2026-44478 in Hoppscotchの影響はありますか?

はい、Hoppscotchのバージョン2025.7.0から2026.4.0未満を使用している場合は、機密情報が漏洩する可能性があります。

CVE-2026-44478 in Hoppscotchを修正するにはどうすればよいですか?

Hoppscotchをバージョン2026.4.0にアップグレードしてください。

CVE-2026-44478は積極的に悪用されていますか?

現時点では、積極的に悪用されているという報告はありませんが、攻撃者による悪用は十分に考えられます。

CVE-2026-44478に関するHoppscotchの公式アドバイザリはどこで入手できますか?

Hoppscotchの公式ウェブサイトまたはセキュリティアドバイザリページで確認してください。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
scanZone.liveBadgescanZone.eyebrow

今すぐ試す — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...