Unknown · Hoppscotch · CVE-2026-28215
**Nome do Software Vulnerável e Versões Afetadas**
Versões do Hoppscotch anteriores à 2026.2.0
**Descrição**
O Hoppscotch, um ecossistema de desenvolvimento de API, apresentou uma vulnerabilidade crítica de segurança na qual um atacante não autenticado poderia sobrescrever toda a configuração de infraestrutura de uma instância auto-hospedada. Isso incluía credenciais de provedor OAuth e configurações SMTP, possibilitado pelo envio de uma requisição HTTP POST para o endpoint `/v1/onboarding/config`, o qual não possuía autenticação nem verificações de conclusão. Um exploit bem-sucedido permitia ao atacante substituir as credenciais da aplicação OAuth, capturando tokens OAuth e endereços de e-mail de usuários que faziam login via SSO. O endpoint também retornava um token de recuperação que permitia o acesso a todos os segredos armazenados em texto claro, incluindo senhas SMTP e outras credenciais configuradas.
**Recomendações**
Atualize para a versão 2026.2.0 ou posterior.