CVE-2026-28215

Nome do Software Vulnerável e Versões Afetadas Versões do Hoppscotch anteriores à 2026.2.0

Descrição O Hoppscotch, um ecossistema de desenvolvimento de API, apresentou uma vulnerabilidade crítica de segurança na qual um atacante não autenticado poderia sobrescrever toda a configuração de infraestrutura de uma instância auto-hospedada. Isso incluía credenciais de provedor OAuth e configurações SMTP, possibilitado pelo envio de uma requisição HTTP POST para o endpoint /v1/onboarding/config, o qual não possuía autenticação nem verificações de conclusão. Um exploit bem-sucedido permitia ao atacante substituir as credenciais da aplicação OAuth, capturando tokens OAuth e endereços de e-mail de usuários que faziam login via SSO. O endpoint também retornava um token de recuperação que permitia o acesso a todos os segredos armazenados em texto claro, incluindo senhas SMTP e outras credenciais configuradas.

Recomendações Atualize para a versão 2026.2.0 ou posterior.