目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1336

100%

CVE-2026-50160— Hoppscotch 输入验证错误漏洞

CVSS 10.0 · Critical EPSS 0.59% · P44

影响版本矩阵 1

厂商产品版本范围状态
hoppscotchhoppscotch<= 2026.4.1affected
获取后续新漏洞提醒登录后订阅

一、 漏洞 CVE-2026-50160 基础信息

漏洞信息

对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗

尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。

Vulnerability Title
Mass Assignment via Onboarding Endpoint Allows Unauthenticated JWT_SECRET Overwrite
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
Hoppscotch is an API development ecosystem. In self-hosted deployments of hoppscotch-backend from version 2026.4.1 and earlier, the unauthenticated POST /v1/onboarding/config endpoint is vulnerable to mass assignment. The global NestJS ValidationPipe is configured without whitelist: true, so extra properties on the request body that are not declared in SaveOnboardingConfigRequest are not stripped and are iterated in the service layer as if they were legitimate InfraConfig entries. Because keys such as JWT_SECRET and SESSION_SECRET are valid InfraConfigEnum values and are not explicitly rejected during validation, an unauthenticated attacker who can reach a fresh instance before onboarding completes (or when no users exist) can overwrite these values in the database. Overwriting JWT_SECRET gives the attacker control of the JWT signing key, allowing them to forge tokens for any user, including administrators, and results in full server compromise. The issue is fixed in hoppscotch 2026.5.0.
来源: 美国国家漏洞数据库 NVD
CVSS Information
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
CWE-915
来源: 美国国家漏洞数据库 NVD
Vulnerability Title
Hoppscotch 输入验证错误漏洞
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Description
Hoppscotch是Hoppscotch组织开源的一个Api开发生态系统。 Hoppscotch 2026.4.1及之前版本存在输入验证错误漏洞,该漏洞源于POST /v1/onboarding/config端点存在批量赋值问题,可能导致未经身份验证的攻击者在初始设置完成前覆盖JWT_SECRET和SESSION_SECRET等值,从而获取JWT签名密钥控制权,伪造任意用户令牌,最终导致服务器完全被攻破。
来源: 中国国家信息安全漏洞库 CNNVD
CVSS Information
N/A
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Type
N/A
来源: 中国国家信息安全漏洞库 CNNVD

受影响产品

厂商产品影响版本CPE订阅
hoppscotchhoppscotch <= 2026.4.1 -

二、漏洞 CVE-2026-50160 的公开POC

#POC 描述源链接神龙链接
AI 生成 POC高级

未找到公开 POC。

登录以生成 AI POC

三、漏洞 CVE-2026-50160 的情报信息

登录查看更多情报信息。

CVE-2026-50160 补丁与修复 (1)

CVE-2026-50160 厂商安全公告 (1)

IV. Related Vulnerabilities

V. Comments for CVE-2026-50160

暂无评论


发表评论