Die Schwachstelle betrifft die Backend-Komponente von Hoppscotch, einer Entwicklungsumgebung für Programmierschnittstellen (APIs), und tritt bei selbst betriebenen Installationen auf. Ursache ist eine sogenannte Mass-Assignment-Lücke an einem Onboarding-Endpunkt, der ohne Anmeldung erreichbar ist. Die eingehenden Anfragedaten werden nicht auf die erwarteten Felder beschränkt: Zusätzliche, nicht vorgesehene Eigenschaften im Anfragekörper werden nicht verworfen, sondern in der Verarbeitungsschicht wie gültige Konfigurationseinträge behandelt. Dadurch kann ein nicht angemeldeter Angreifer, der eine frische Instanz erreicht, bevor das Onboarding abgeschlossen ist oder solange noch keine Benutzer existieren, interne Konfigurationswerte in der Datenbank überschreiben – darunter den geheimen Schlüssel zur Signierung von Sitzungs-Token. Wer diesen Signierschlüssel kontrolliert, kann gültige Token für beliebige Nutzer einschließlich Administratoren fälschen und erlangt damit die vollständige Kontrolle über den Server.
CVE-2026-50160
10
CRITICAL
CVSS Basis-Score
Beschreibung