hoppscotch is an open source API development ecosystem. Prior to version 2026.2.0, an unauthenticated attacker can overwrite the entire infrastructure configuration of a self-hosted Hoppscotch instance including OAuth provider credentials and SMTP settings by sending a single HTTP POST request with no authentication. The endpoint POST /v1/onboarding/config has no authentication guard and performs no check on whether onboarding was already completed. A successful exploit allows the attacker to replace the instance's Google/GitHub/Microsoft OAuth application credentials with their own, causing all subsequent user logins via SSO to authenticate against the attacker's OAuth app. The attacker captures OAuth tokens and email addresses of every user who logs in after the exploit. Additionally, the endpoint returns a recovery token that can be used to read all stored secrets in plaintext, including SMTP passwords and any other configured credentials. Version 2026.2.0 fixes the issue.
CVE-2026-28215 is a critical unauthenticated configuration override vulnerability in Hoppscotch prior to version 2026.2.0 that allows attackers to modify OAuth credentials and SMTP settings via an unprotected POST endpoint. This vulnerability enables credential theft, session hijacking, and exposure of sensitive infrastructure secrets through a single HTTP request.
يحتوي Hoppscotch على ثغرة حرجة في نقطة نهاية المتابعة حيث لا توجد حماية مصادقة أو فحوصات للتحقق من اكتمال عملية الإعداد. يمكن للمهاجمين استبدال بيانات اعتماد OAuth وإعدادات SMTP وسرقة رموز المصادقة وعناوين البريد الإلكتروني لجميع المستخدمين. تعرض الثغرة أيضاً رمز استرجاع يسمح بقراءة جميع الأسرار المخزنة بصيغة نصية عادية.
هذا الثغرة الحرجة في Hoppscotch تسمح لمهاجمين غير مصرحين بتجاوز إعدادات البنية التحتية بما في ذلك بيانات اعتماد OAuth و SMTP. يمكن للمهاجمين اختطاف جلسات المستخدمين والوصول إلى جميع الأسرار المخزنة في النظام.
Immediately upgrade Hoppscotch to version 2026.2.0 or later. Implement authentication guards on the POST /v1/onboarding/config endpoint. Verify OAuth provider credentials and SMTP settings post-upgrade. Rotate all OAuth application credentials and review user authentication logs for suspicious activity. Implement network-level access controls to restrict configuration endpoints.
قم بالترقية الفورية إلى الإصدار 2026.2.0 أو أحدث. أضف حماية المصادقة على نقطة النهاية POST /v1/onboarding/config. تحقق من بيانات اعتماد OAuth وإعدادات SMTP بعد الترقية. أعد تعيين جميع بيانات اعتماد تطبيقات OAuth وراجع سجلات المصادقة للكشف عن النشاط المريب. طبق عناصر تحكم الوصول على مستوى الشبكة.