文章总结: HoppscotchAPI开发平台存在CVSS10分批量赋值漏洞CVE-2026-50160,允许未授权攻击者通过初始化配置端点覆盖安全密钥,伪造管理员令牌实现服务器完全控制。影响2026.4.1及更早版本的自托管实例,攻击者可窃取工作区数据、注入恶意密钥。建议立即升级至2026.5.0版本并完成初始化设置以禁用漏洞端点。 综合评分: 88 文章分类: 漏洞分析,WEB安全,应用安全,解决方案,漏洞预警
CVSS 10 分 Hoppscotch 批量赋值漏洞:服务器完全沦陷
sec随谈 sec随谈
sec随谈
2026年6月29日 09:15 北京
在小说阅读器读本章
去阅读
一个严重的 Hoppscotch 批量赋值漏洞正威胁着自托管的 API 部署。该漏洞编号为 CVE-2026-50160,允许未经身份验证的用户彻底接管实例。
摘要
安全研究人员在 Hoppscotch API 开发生态系统中发现了一个 CVSS 10 分的漏洞。这个 Hoppscotch 批量赋值问题允许攻击者覆盖关键的安全密钥。因此,黑客可以通过伪造管理员令牌实现服务器的完全沦陷。
影响为何重大
该漏洞使各组织在软件初始部署阶段暴露于风险之中。自托管实例在管理员完成初始化(onboarding)流程之前面临极高风险。报告指出,”自托管的 Hoppscotch 实例在初始设置期间会暴露在互联网上”。因此,从部署到完成之间的时间窗口使系统极易遭受攻击。
攻击者可以覆盖会话密钥(session secret)和 JWT 签名密钥的值。因此,他们无需知晓凭据,即可为任意用户身份伪造 JWT 令牌。这使他们获得了持久的管理员访问权限。即使合法管理员重置了自己的凭据,攻击者仍掌握着签名密钥的控制权。他们将一直保有这种访问权限,直到该部署被彻底拆除。
此外,入侵者还能利用经过身份验证的 GraphQL 查询,窃取所有存储的工作区、API 密钥和团队数据。攻击者还可以注入其他密钥来削弱密码哈希强度。他们甚至能够覆盖用于 Google、GitHub 和 Microsoft 集成的 OAuth 应用密钥。
攻击如何实现
该攻击针对初始化配置端点。在用户数量仍为零时,此端点会接受未经身份验证的请求。应用程序使用了一套验证管道(validation pipe)配置,但未能实施严格的白名单规则,也不会剥离传入请求中的额外属性。
因此,攻击者可以通过批量赋值向数据库注入任意配置密钥。服务层会毫无限制地遍历所有提供的密钥,并直接进行类型转换,而不执行运行时检查。由于应用程序缺少针对安全密钥的明确验证逻辑,数据库会悄无声息地接受这些恶意输入。其 switch 语句只是直接跳转至默认的 break 分支。
攻击者发送一个特制的 JSON 载荷,其中包含恶意密钥以及合法的初始化字段。服务器保存这些密钥后,便立即将完全控制权拱手交给了攻击者。
受影响的版本
这一严重漏洞影响运行 2026.4.1 及更早版本的 Hoppscotch 部署。该风险严格限于初始化尚未完成的全新安装实例。安全团队尚未确认该漏洞已在野外被实际利用。不过,已存在一个可运行的概念验证(PoC)。
补丁与缓解措施
管理员必须立即保护其实例。你应升级至 Hoppscotch 2026.5.0 版本以解决此问题。开发者已通过强制执行严格的验证规则修复了该端点。更多详情请参阅官方安全公告。此外,团队应在部署新实例后立即完成初始化设置。这一操作会改变用户数量,并彻底禁用该存在漏洞的端点。
参考链接:
https://github.com/hoppscotch/hoppscotch/security/advisories/GHSA-j542-4rch-8hwf
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:sec随谈 sec随谈 sec随谈《CVSS 10 分 Hoppscotch 批量赋值漏洞:服务器完全沦陷》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。








评论