CVE-2026-44478 是 Hoppscotch API 开发生态系统中的一个信息泄露漏洞。该漏洞允许未经身份验证的用户通过 GET /v1/onboarding/config 接口获取基础设施密钥,如果数据库中存储的 ONBOARDINGRECOVERYTOKEN 为空字符串,则风险尤其高。此漏洞影响 Hoppscotch 2025.7.0 到 2026.4.0 之间的版本,已在 2026.4.0 版本中修复。
影响与攻击场景
攻击者利用此漏洞可以轻松获取 Hoppscotch 实例的基础设施密钥,包括数据库凭据、API 密钥和其他敏感信息。这些密钥可用于访问后端系统、窃取数据或执行其他恶意活动。由于该漏洞无需身份验证即可利用,因此攻击面非常广,任何能够访问 Hoppscotch API 的用户都可能受到影响。泄露的信息可能导致数据泄露、系统入侵和业务中断,对组织造成重大损失。
利用背景
目前尚无公开的漏洞利用代码 (POC),但由于该漏洞无需身份验证即可利用,且影响范围广泛,因此存在被利用的风险。该漏洞已在 2026 年 5 月 13 日发布,尚未观察到大规模的利用活动。建议密切关注安全社区的动态,并及时采取必要的安全措施。
威胁情报
漏洞利用状态
CVSS 向量
这些指标意味着什么?
- Attack Vector
- 网络 — 可通过互联网远程利用,无需物理或本地访问。攻击面最大。
- Attack Complexity
- 低 — 无需特殊条件,可以稳定地利用漏洞。
- Privileges Required
- 无 — 无需认证,无需凭证即可利用。
- User Interaction
- 无 — 攻击自动且无声,受害者无需任何操作。
- Scope
- 未改变 — 影响仅限于脆弱组件本身。
- Confidentiality
- 高 — 完全丧失机密性,攻击者可读取所有数据。
- Integrity
- 无 — 无完整性影响。
- Availability
- 无 — 无可用性影响。
受影响的软件
弱点分类 (CWE)
时间线
- 已保留
- 发布日期
缓解措施和替代方案
为了缓解 CVE-2026-44478 的影响,建议立即升级到 Hoppscotch 2026.4.0 或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:确保数据库中 ONBOARDINGRECOVERYTOKEN 不为空字符串。如果可能,限制对 /v1/onboarding/config 接口的访问,只允许授权用户访问。使用 Web 应用防火墙 (WAF) 或代理服务器来过滤对该接口的请求,并阻止任何可疑的活动。升级后,请验证新版本是否已成功部署,并确认该漏洞已得到修复。
修复方法翻译中…
Actualice Hoppscotch a la versión 2026.4.0 o posterior para mitigar esta vulnerabilidad. La versión corregida implementa una verificación adicional para evitar la divulgación de secretos de infraestructura a usuarios no autenticados.
常见问题
什么是 CVE-2026-44478 — 信息泄露 in Hoppscotch?
CVE-2026-44478 是 Hoppscotch API 开发生态系统中的一个信息泄露漏洞,允许未经身份验证的用户获取基础设施密钥。
我是否受到 CVE-2026-44478 in Hoppscotch 的影响?
如果您运行 Hoppscotch 2025.7.0 到 2026.4.0 之间的版本,则可能受到影响。
如何修复 CVE-2026-44478 in Hoppscotch?
升级到 Hoppscotch 2026.4.0 或更高版本。
CVE-2026-44478 是否正在被积极利用?
目前尚未观察到大规模的利用活动,但存在被利用的风险。
在哪里可以找到 Hoppscotch 官方关于 CVE-2026-44478 的公告?
请查阅 Hoppscotch 官方安全公告或 GitHub 仓库。
立即试用 — 无需账户
上传任何清单文件 (composer.lock, package-lock.json, WordPress 插件列表…) 或粘贴您的组件列表。您立即获得一份漏洞报告。上传文件只是开始:拥有账户后,您将获得持续监控、Slack/电子邮件警报、多项目和白标报告。
拖放您的依赖文件
composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...