Gratis scannen
HIGHCVE-2026-44478CVSS 7.5

CVE-2026-44478: Information Disclosure in Hoppscotch

Platform

nodejs

Component

hoppscotch

Opgelost in

2026.4.0

Bekijk op NVD
Opslaan

CVE-2026-44478 is een kwetsbaarheid voor informatielek in Hoppscotch, een open-source API-ontwikkelingsomgeving. Deze kwetsbaarheid stelt ongeauthenticeerde gebruikers in staat om infrastructuurgeheimen in platte tekst te bekijken via de GET /v1/onboarding/config endpoint wanneer de ONBOARDINGRECOVERYTOKEN in de database leeg is. De kwetsbaarheid treft versies 2025.7.0 tot en met < 2026.4.0. Een fix is beschikbaar in versie 2026.4.0.

Impact en Aanvalsscenarios

De impact van dit informatielek is significant. Ongeauthenticeerde aanvallers kunnen gevoelige infrastructuurgeheimen inzien, zoals API-sleutels, database wachtwoorden of andere configuratiegegevens. Deze informatie kan worden gebruikt voor verdere aanvallen, zoals het compromitteren van de API-server, toegang krijgen tot gevoelige data of het uitvoeren van kwaadaardige acties. Het lek maakt het mogelijk om de beveiliging van de gehele applicatie en de onderliggende infrastructuur te ondermijnen. Hoewel de fix voor CVE-2026-28215 de onboarding config overwrites adresseerde, bleef dit lek bestaan.

Uitbuitingscontext

Er is momenteel geen publieke exploitatie bekend, maar de kwetsbaarheid is relatief eenvoudig te exploiteren. De kwetsbaarheid is gepubliceerd op 2026-05-13. De EPSS score is nog niet bekend, maar gezien de eenvoudige exploitatie en de potentieel grote impact, is een medium tot hoge score waarschijnlijk. Controleer de NVD en CISA websites voor updates over actieve campagnes.

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend
CISA KEVNO
InternetblootstellingHoog
Rapporten1 dreigingsrapport

CVSS-vector

DREIGINGSINFORMATIE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N7.5HIGHAttack VectorNetworkHoe de aanvaller het doel bereiktAttack ComplexityLowVereiste omstandigheden om te exploiterenPrivileges RequiredNoneVereist authenticatieniveau voor aanvalUser InteractionNoneOf het slachtoffer actie moet ondernemenScopeUnchangedImpact buiten het getroffen onderdeelConfidentialityHighRisico op blootstelling van gevoelige dataIntegrityNoneRisico op ongeautoriseerde gegevenswijzigingAvailabilityNoneRisico op verstoring van dienstennextguardhq.com · CVSS v3.1 Basisscore
Wat betekenen deze metrics?
Attack Vector
Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
Attack Complexity
Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
Privileges Required
Geen — geen authenticatie vereist om te exploiteren.
User Interaction
Geen — automatische en stille aanval. Slachtoffer doet niets.
Scope
Ongewijzigd — impact beperkt tot het kwetsbare component.
Confidentiality
Hoog — volledig verlies van vertrouwelijkheid. Aanvaller kan alle gegevens lezen.
Integrity
Geen — geen integriteitsimpact.
Availability
Geen — geen beschikbaarheidsimpact.

Getroffen Software

Componenthoppscotch
Leverancierhoppscotch
Minimumversie2025.7.0
Maximumversie>= 2025.7.0, < 2026.4.0
Opgelost in2026.4.0

Zwakheidsclassificatie (CWE)

CWE-284CWE-287

Tijdlijn

  1. Gereserveerd
  2. Gepubliceerd

Mitigatie en Workarounds

De primaire mitigatie is het upgraden naar Hoppscotch versie 2026.4.0 of hoger, waar deze kwetsbaarheid is verholpen. Als een directe upgrade niet mogelijk is, overweeg dan om de ONBOARDINGRECOVERYTOKEN in de database niet leeg te laten. Implementeer een Web Application Firewall (WAF) of proxy om ongeauthenticeerde toegang tot de /v1/onboarding/config endpoint te blokkeren. Controleer de configuratie van Hoppscotch om te verzekeren dat de onboarding token niet leeg is en dat de toegang tot de onboarding configuratie endpoint beperkt is tot geauthenticeerde gebruikers. Na de upgrade, verifieer de fix door een ongeauthenticeerde GET request naar /v1/onboarding/config te sturen en controleer of er geen geheimen worden geretourneerd.

Hoe te verhelpenwordt vertaald…

Actualice Hoppscotch a la versión 2026.4.0 o posterior para mitigar esta vulnerabilidad. La versión corregida implementa una verificación adicional para evitar la divulgación de secretos de infraestructura a usuarios no autenticados.

Veelgestelde vragen

Wat is CVE-2026-44478 — Information Disclosure in Hoppscotch?

CVE-2026-44478 is een kwetsbaarheid in Hoppscotch waardoor ongeauthenticeerde gebruikers infrastructuurgeheimen in platte tekst kunnen inzien.

Ben ik getroffen door CVE-2026-44478 in Hoppscotch?

U bent getroffen als u Hoppscotch gebruikt in versie 2025.7.0 tot en met < 2026.4.0 en de ONBOARDINGRECOVERYTOKEN in de database leeg is.

Hoe los ik CVE-2026-44478 in Hoppscotch op?

Upgrade naar Hoppscotch versie 2026.4.0 of hoger. Als een upgrade niet mogelijk is, zorg er dan voor dat de ONBOARDINGRECOVERYTOKEN niet leeg is.

Wordt CVE-2026-44478 actief misbruikt?

Er is momenteel geen publieke exploitatie bekend, maar de kwetsbaarheid is eenvoudig te exploiteren.

Waar kan ik het officiële Hoppscotch advisory voor CVE-2026-44478 vinden?

Raadpleeg de Hoppscotch GitHub repository voor de meest recente informatie en updates over deze kwetsbaarheid.

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannenCVEs zoeken
livefree scan

Probeer het nu — geen account

Upload een manifest (composer.lock, package-lock.json, WordPress pluginlijst…) of plak uw componentenlijst. U ontvangt direct een kwetsbaarheidsrapport. Een bestand uploaden is slechts het begin: met een account krijgt u continue monitoring, Slack/e-mail alerts, multi-project en white-label rapporten.

Manual scanSlack/email alertsscanZone.capMonitorWhite-label reports

Sleep uw afhankelijkheidsbestand hierheen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...