Escanear grátis
HIGHCVE-2026-44478CVSS 7.5

CVE-2026-44478: Info Disclosure em Hoppscotch

Plataforma

nodejs

Componente

hoppscotch

Corrigido em

2026.4.0

Ver no NVD
Salvar

A vulnerabilidade CVE-2026-44478 em Hoppscotch permite a divulgação de informações sensíveis, especificamente segredos de infraestrutura, para usuários não autenticados. Embora a correção para CVE-2026-28215 tenha abordado a sobreescrita de configuração, a API GET /v1/onboarding/config ainda vaza esses segredos quando o token de recuperação está vazio. A vulnerabilidade afeta as versões 2025.7.0 até a versão 2026.4.0 do Hoppscotch e foi corrigida na versão 2026.4.0.

Impacto e Cenários de Ataque

Um atacante pode explorar essa vulnerabilidade para obter acesso a segredos de infraestrutura, como chaves de API, senhas e outros dados confidenciais. Essas informações podem ser usadas para comprometer outros sistemas, acessar dados confidenciais ou interromper o serviço. A divulgação de segredos pode levar a uma ampla gama de ataques, incluindo roubo de dados, escalada de privilégios e interrupção do serviço.

Contexto de Exploração

A vulnerabilidade CVE-2026-44478 está listada no NVD (National Vulnerability Database). A probabilidade de exploração é considerada moderada, dada a facilidade de acesso à API e o impacto potencial. Não há informações disponíveis sobre exploração ativa em campanhas direcionadas no momento da publicação.

Inteligência de Ameaças

Status do Exploit

Prova de ConceitoDesconhecido
CISA KEVNO
Exposição na InternetAlta
Relatórios1 relatório de ameaça

Vetor CVSS

INTELIGÊNCIA DE AMEAÇAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N7.5HIGHAttack VectorNetworkComo o atacante alcança o alvoAttack ComplexityLowCondições necessárias para explorarPrivileges RequiredNoneNível de autenticação necessárioUser InteractionNoneSe a vítima precisa tomar uma açãoScopeUnchangedImpacto além do componente afetadoConfidentialityHighRisco de exposição de dados sensíveisIntegrityNoneRisco de modificação não autorizada de dadosAvailabilityNoneRisco de interrupção de serviçonextguardhq.com · Pontuação Base CVSS v3.1
O que significam essas métricas?
Attack Vector
Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
Attack Complexity
Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
Privileges Required
Nenhum — sem autenticação necessária para explorar.
User Interaction
Nenhuma — ataque automático e silencioso. A vítima não faz nada.
Scope
Inalterado — impacto limitado ao componente vulnerável.
Confidentiality
Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
Integrity
Nenhum — sem impacto na integridade.
Availability
Nenhum — sem impacto na disponibilidade.

Software Afetado

Componentehoppscotch
Fornecedorhoppscotch
Versão mínima2025.7.0
Versão máxima>= 2025.7.0, < 2026.4.0
Corrigido em2026.4.0

Classificação de Fraqueza (CWE)

CWE-284CWE-287

Linha do tempo

  1. Reservado
  2. Publicada

Mitigação e Soluções Alternativas

A mitigação primária para CVE-2026-44478 é a atualização imediata para a versão corrigida do Hoppscotch (2026.4.0 ou superior). Enquanto isso, evite usar o token de recuperação vazio. Monitore os logs do servidor em busca de acessos não autorizados à API /v1/onboarding/config. Após a atualização, confirme a correção verificando se a API não está mais vazando segredos para usuários não autenticados.

Como corrigirtraduzindo…

Actualice Hoppscotch a la versión 2026.4.0 o posterior para mitigar esta vulnerabilidad. La versión corregida implementa una verificación adicional para evitar la divulgación de secretos de infraestructura a usuarios no autenticados.

Perguntas frequentes

O que é CVE-2026-44478 — Info Disclosure em Hoppscotch?

CVE-2026-44478 é uma vulnerabilidade de Divulgação de Informações em Hoppscotch que permite a vazamento de segredos de infraestrutura para usuários não autenticados. Afeta versões 2025.7.0 - < 2026.4.0 e possui severidade alta (CVSS 7.5).

Estou afetado pelo CVE-2026-44478 em Hoppscotch?

Se você estiver utilizando uma versão do Hoppscotch entre 2025.7.0 e 2026.4.0, você está potencialmente afetado. Verifique a versão instalada e atualize imediatamente.

Como corrigir CVE-2026-44478 em Hoppscotch?

A correção é atualizar para a versão 2026.4.0 ou superior do Hoppscotch. Consulte a documentação oficial do Hoppscotch para instruções detalhadas de atualização.

CVE-2026-44478 está sendo ativamente explorado?

Embora não haja relatos extensivos de exploração ativa, a vulnerabilidade é considerada de alta severidade e pode ser explorada. É crucial aplicar a correção o mais rápido possível.

Onde posso encontrar o aviso oficial do Hoppscotch para CVE-2026-44478?

Consulte o repositório do Hoppscotch no GitHub para obter informações oficiais e avisos de segurança: [https://github.com/hoppscotch/hoppscotch](https://github.com/hoppscotch/hoppscotch)

Seu projeto está afetado?

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátisBuscar CVEs
ao vivoverificação gratuita

Experimente agora — sem conta

Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.

Escaneamento manualAlertas por Slack/e-mailMonitoramento ContínuoRelatórios de marca branca

Arraste e solte seu arquivo de dependências

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...