漏洞标题
内容欺骗——真正的Hoppscotch电邮
漏洞描述信息
Hoppscotch是一个API开发生态系统。由于Label(编辑团队)- TeamName等字段缺乏验证,恶意行为者可以发送带有伪造内容的电子邮件,将其伪装为Hoppscotch。部分载荷(外部链接)以可点击的形式呈现,这使得恶意行为者更容易实现自己的目标。这个问题在2023年12月6日得到了修复。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
漏洞标题
Content spoofing - real Hoppscotch emails
漏洞描述信息
Hoppscotch is an API development ecosystem. Due to lack of validation for fields like Label (Edit Team) - TeamName, bad actors can send emails with Spoofed Content as Hoppscotch. Part of payload (external link) is presented in clickable form - easier to achieve own goals by malicious actors. This issue is fixed in 2023.12.6.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
漏洞类别
输入验证不恰当
漏洞标题
Hoppscotch 安全漏洞
漏洞描述信息
Hoppscotch是一个开源 Api 开发生态系统。 Hoppscotch 2023.12.5及之前版本存在安全漏洞,该漏洞源缺乏对Label(Edit Team)-TeamName等字段的验证,导致攻击者可以将带有欺骗性内容的电子邮件作为Hoppscotch。
CVSS信息
N/A
漏洞类别
其他