Lỗ hổng nghiêm trọng trong Insomnia API Client cho phép thực thi mã từ xa

[WhiteHat Team]

Một lỗ hổng bảo mật nghiêm trọng vừa được phát hiện trong ứng dụng Insomnia API Client, công cụ mã nguồn mở phổ biến do công ty công nghệ Kong (Mỹ) phát triển. Lỗ hổng này có mã định danh là CVE-2025-1087, điểm CVSS 9,3, cho phép kẻ tấn công thực thi mã JavaScript tùy ý trên hệ thống của người dùng thông qua kỹ thuật Template Injection.

​

Insomnia là một trong những công cụ hỗ trợ phát triển và kiểm thử API REST, GraphQL, WebSocket, SSE và gRPC với hơn 36.000 sao trên GitHub. Nó được các lập trình viên, kỹ sư DevOps và tester sử dụng phổ biến nhờ khả năng hỗ trợ đa nền tảng và tính tùy biến cao.

Tuy nhiên, các phiên bản Insomnia Desktop trước 11.0.2 đang bị ảnh hưởng bởi lỗ hổng CVE-2025-1087. Vấn đề nằm ở việc xử lý không an toàn các chuỗi template, cho phép kẻ tấn công chèn mã JavaScript vào các trường dữ liệu như biến môi trường, script tùy chỉnh hoặc các tag mẫu.

Kẻ tấn công có thể lợi dụng lỗ hổng này để:

• Thực thi mã JavaScript tùy ý trong ứng dụng
• Truy cập các biến môi trường chứa thông tin nhạy cảm (token, API key,…)
• Sửa đổi yêu cầu API để mở rộng phạm vi tấn công
• Gây ảnh hưởng nghiêm trọng đến toàn bộ hệ thống nếu ứng dụng chạy với quyền cao

Đặc biệt, lỗ hổng có thể bị khai thác thông qua các workspace export độc hại hoặc dự án chia sẻ giữa các thành viên, khiến rủi ro lây nhiễm trong cộng đồng phát triển rất cao.

Người dùng Insomnia được khuyến cáo lập tức cập nhật lên phiên bản 11.0.2 hoặc mới hơn để loại bỏ rủi ro bảo mật nghiêm trọng này.

Theo Security Online​