Vulnerabilidad en hoppscotch (CVE-2026-28215)

hoppscotch es un ecosistema de desarrollo de API de código abierto. Antes de la versión 2026.2.0, un atacante no autenticado puede sobrescribir toda la configuración de infraestructura de una instancia de Hoppscotch autoalojada, incluyendo las credenciales del proveedor OAuth y la configuración SMTP, enviando una única solicitud HTTP POST sin autenticación. El endpoint POST /v1/onboarding/config no tiene protección de autenticación y no realiza ninguna comprobación sobre si la incorporación ya se completó. Un exploit exitoso permite al atacante reemplazar las credenciales de la aplicación OAuth de Google/GitHub/Microsoft de la instancia con las suyas propias, haciendo que todos los inicios de sesión de usuario posteriores a través de SSO se autentiquen contra la aplicación OAuth del atacante. El atacante captura tokens OAuth y direcciones de correo electrónico de cada usuario que inicia sesión después del exploit. Además, el endpoint devuelve un token de recuperación que puede usarse para leer todos los secretos almacenados en texto plano, incluyendo contraseñas SMTP y cualquier otra credencial configurada. La versión 2026.2.0 soluciona el problema.