CVE-2026-34932Hoppscotch是一款开源的API开发生态系统。在其2026.3.0版本之前的软件中,存在一个存储型跨站脚本(XSS)安全漏洞。该漏洞源于应用程序对用户提交的数据缺乏足够的过滤和校验,允许攻击者植入恶意脚本。当受害者访问受影响的功能模块时,恶意脚本将在其浏览器上下文中执行,从而可能引发跨站请求伪造(CSRF)攻击,危及用户数据安全。
该漏洞核心原理在于存储型跨站脚本攻击(Stored XSS)。在Hoppscotch 2026.3.0之前的版本中,系统在处理用户输入的数据(例如API请求保存的名称、团队工作区描述等字段)时,未实施严格的输入验证和输出编码机制。攻击者可以构造包含恶意JavaScript代码的Payload,并将其提交到应用程序的数据库中。
当具有权限的其他用户(尤其是管理员)访问并加载被注入恶意数据的页面时,服务器会将存储的恶意脚本原样返回给客户端。客户端浏览器解析该响应,导致恶意代码在受害者的浏览器会话上下文中自动执行。
攻击者利用这一漏洞,不仅可以窃取受害者的Cookie、会话令牌等敏感凭证,还可以进一步结合应用程序的业务逻辑发起跨站请求伪造(CSRF)攻击。这使得攻击者能够以受害者的身份执行非预期的操作,例如修改后端配置、窃取API密钥或删除重要资源,从而严重威胁系统的完整性和机密性。