📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. الترقية الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global insider التعليم HIGH 2h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 7h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 9h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 10h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 13h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 16h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 17h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d Global insider التعليم HIGH 2h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 7h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 9h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 10h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 13h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 16h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 17h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d Global insider التعليم HIGH 2h Global supply_chain تطوير البرمجيات والتكنولوجيا HIGH 7h Global apt الحكومة والبنية التحتية الحرجة CRITICAL 9h Global vulnerability برامج المؤسسات / تحليل البيانات CRITICAL 10h Global vulnerability الذكاء الاصطناعي والتكنولوجيا HIGH 13h Global general قطاع التكنولوجيا والذكاء الاصطناعي MEDIUM 16h Global general قطاع التكنولوجيا والذكاء الاصطناعي HIGH 17h Global vulnerability التعليم العالي CRITICAL 1d Global data_breach القطاع الحكومي HIGH 1d Global supply_chain تطوير البرمجيات والمجتمعات مفتوحة المصدر CRITICAL 1d
الثغرات

CVE-2026-28216

مرتفع ⚡ اختراق متاح
hoppscotch is an open source API development ecosystem. Prior to version 2026.2.0, any logged-in user can read, modify or delete another user's personal environment by ID. `user-environments.resolver.
CWE-639 — نوع الضعف
نُشر: Feb 26, 2026  ·  آخر تحديث: Mar 5, 2026  ·  المصدر: NVD
CVSS v3
8.3
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

hoppscotch is an open source API development ecosystem. Prior to version 2026.2.0, any logged-in user can read, modify or delete another user's personal environment by ID. `user-environments.resolver.ts:82-109`, `updateUserEnvironment` mutation uses `@UseGuards(GqlAuthGuard)` but is missing the `@GqlUser()` decorator entirely. The user's identity is never extracted, so the service receives only the environment ID and performs a `prisma.userEnvironment.update({ where: { id } })` without any ownership filter. `deleteUserEnvironment` does extract the user but the service only uses the UID to check if the target is a global environment. Actual delete query uses WHERE { id } without AND userUid. hoppscotch environments store API keys, auth tokens and secrets used in API requests. An authenticated attacker who obtains another user's environment ID can read their secrets, replace them with malicious values or delete them entirely. The environment ID format is CUID, which limits mass exploitation but insider threat and combined info leak scenarios are realistic. Version 2026.2.0 fixes the issue.

🤖 ملخص AI

Hoppscotch versions prior to 2026.2.0 contain a critical authorization bypass vulnerability allowing authenticated users to read, modify, or delete other users' API environments containing sensitive credentials. The vulnerability stems from missing user identity validation in the updateUserEnvironment mutation and insufficient ownership checks in deleteUserEnvironment, enabling attackers to access API keys, authentication tokens, and secrets. This poses significant risk to organizations using Hoppscotch for API development and testing, particularly those managing sensitive integrations.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 24, 2026 23:50
🇸🇦 التأثير على المملكة العربية السعودية
Saudi organizations in financial services (SAMA-regulated banks), government agencies (NCA oversight), healthcare providers, and energy sector (ARAMCO, downstream operators) face elevated risk if using Hoppscotch for API development. The vulnerability enables insider threats and lateral movement scenarios where developers or contractors with legitimate access can exfiltrate API credentials used for critical integrations. Telecom operators (STC, Mobily, Zain) managing API ecosystems for billing and customer systems are particularly vulnerable. The exposure of authentication tokens and API keys could compromise downstream systems and enable unauthorized API access to sensitive business processes.
🏢 القطاعات السعودية المتأثرة
Banking and Financial Services Government and Public Administration Healthcare and Medical Services Energy and Utilities Telecommunications Software Development and IT Services E-commerce and Retail
⚖️ درجة المخاطر السعودية (AI)
8.7
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:

1. Upgrade Hoppscotch to version 2026.2.0 or later immediately

2. Audit all user environment access logs for unauthorized modifications or deletions

3. Rotate all API keys, authentication tokens, and secrets stored in Hoppscotch environments

4. Review access logs for any suspicious cross-user environment access patterns



PATCHING GUIDANCE:

1. Deploy version 2026.2.0 in development/staging environments first

2. Verify patch includes user identity extraction in updateUserEnvironment mutation

3. Confirm deleteUserEnvironment includes userUid ownership filter in WHERE clause

4. Test that users can only access their own environments



COMPENSATING CONTROLS (if immediate patching delayed):

1. Implement network-level access controls restricting Hoppscotch to authorized users only

2. Deploy API gateway monitoring to detect unusual API key usage patterns

3. Implement environment variable encryption for sensitive credentials outside Hoppscotch

4. Restrict Hoppscotch deployment to isolated development networks

5. Disable environment sharing features if available



DETECTION RULES:

1. Monitor GraphQL mutation logs for updateUserEnvironment calls with mismatched user IDs

2. Alert on deleteUserEnvironment operations where requester UID differs from environment owner

3. Track environment access patterns for cross-user access attempts

4. Monitor for bulk environment ID enumeration attempts (CUID pattern scanning)
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:

1. ترقية Hoppscotch إلى الإصدار 2026.2.0 أو أحدث فوراً

2. تدقيق جميع سجلات الوصول إلى بيئة المستخدم للتعديلات أو الحذف غير المصرح به

3. تدوير جميع مفاتيح API وتوكنات المصادقة والأسرار المخزنة في بيئات Hoppscotch

4. مراجعة سجلات الوصول للكشف عن أنماط الوصول المريبة عبر بيئات المستخدمين



إرشادات التصحيح:

1. نشر الإصدار 2026.2.0 في بيئات التطوير/الاختبار أولاً

2. التحقق من أن التصحيح يتضمن استخراج هوية المستخدم في طفرة updateUserEnvironment

3. تأكيد أن deleteUserEnvironment يتضمن مرشح ملكية userUid في جملة WHERE

4. اختبار أن المستخدمين يمكنهم الوصول فقط إلى بيئاتهم الخاصة



الضوابط البديلة (إذا تأخر التصحيح الفوري):

1. تنفيذ ضوابط الوصول على مستوى الشبكة لتقييد Hoppscotch للمستخدمين المصرح لهم فقط

2. نشر مراقبة بوابة API للكشف عن أنماط استخدام مفاتيح API غير العادية

3. تنفيذ تشفير متغيرات البيئة للبيانات الاعتماد الحساسة خارج Hoppscotch

4. تقييد نشر Hoppscotch على شبكات التطوير المعزولة

5. تعطيل ميزات مشاركة البيئة إن أمكن



قواعد الكشف:

1. مراقبة سجلات طفرة GraphQL لاستدعاءات updateUserEnvironment بمعرفات مستخدمين غير متطابقة

2. التنبيه على عمليات deleteUserEnvironment حيث يختلف معرف المستخدم الطالب عن مالك البيئة

3. تتبع أنماط الوصول إلى البيئة لمحاولات الوصول عبر المستخدمين

4. مراقبة محاولات تعداد معرف البيئة الضخمة (مسح نمط CUID)
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.9.1.1 - Access control policy and user access management ECC 2024 A.9.2.1 - User registration and de-registration ECC 2024 A.9.4.3 - Password management system ECC 2024 A.14.2.1 - Secure development policy ECC 2024 A.14.2.5 - Secure development environment
🔵 SAMA CSF
SAMA CSF ID.AC-1 - Identity and Access Management SAMA CSF PR.AC-1 - Processes and procedures for access management SAMA CSF PR.AC-4 - Access rights are managed based on the principle of least privilege SAMA CSF DE.AE-1 - A baseline of network operations and expected data flows is established
🟡 ISO 27001:2022
ISO 27001:2022 A.5.3 - Segregation of duties ISO 27001:2022 A.8.2 - User access management ISO 27001:2022 A.8.3 - User responsibilities ISO 27001:2022 A.9.2 - User access provisioning ISO 27001:2022 A.14.2 - Secure development policy and procedures
🟣 PCI DSS v4.0.1
PCI DSS 2.1 - Establish configuration standards for system components PCI DSS 6.2 - Ensure security patches are installed within one month PCI DSS 7.1 - Implement least privilege access PCI DSS 8.2 - Ensure proper user identification and authentication
📦 المنتجات المتأثرة 1 منتج
hoppscotch:hoppscotch
📊 CVSS Score
8.3
/ 10.0 — مرتفع
📊 CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L
Attack VectorN — None / Network
Attack ComplexityL — Low / Local
Privileges RequiredL — Low / Local
User InteractionN — None / Network
ScopeU — Unchanged
ConfidentialityH — High
IntegrityH — High
AvailabilityL — Low / Local
📋 حقائق سريعة
الخطورة مرتفع
CVSS Score8.3
CWECWE-639
اختراق متاح ✓ نعم
تصحيح متاح ✓ نعم
تاريخ النشر 2026-02-26
المصدر nvd
المشاهدات 6
🇸🇦 درجة المخاطر السعودية
8.7
/ 10.0 — مخاطر السعودية
أولوية: CRITICAL
🏷️ الوسوم
exploit-available CWE-639
🏢 توجيهات البائع
🔗 https://github.com/hoppscotch/hoppscotch/security/ad...
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram

💬 التعليقات

0
جارٍ التحميل
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.