Insomnia là một trong những công cụ hỗ trợ phát triển và kiểm thử API REST, GraphQL, WebSocket, SSE và gRPC. Nó được các lập trình viên, kỹ sư DevOps và tester sử dụng phổ biến nhờ khả năng hỗ trợ đa nền tảng và tính tùy biến cao.

Tuy nhiên, các phiên bản Insomnia Desktop trước 11.0.2 đang bị ảnh hưởng bởi lỗ hổng CVE-2025-1087. Vấn đề nằm ở việc xử lý không an toàn các chuỗi template, cho phép kẻ tấn công chèn mã JavaScript vào các trường dữ liệu như biến môi trường, script tùy chỉnh hoặc các tag mẫu.

Kẻ tấn công có thể lợi dụng lỗ hổng này để thực thi mã JavaScript tùy ý trong ứng dụng. Đồng thời, truy cập các biến môi trường chứa thông tin nhạy cảm (token, API key,…) và sửa đổi yêu cầu API để mở rộng phạm vi tấn công. Đồng thời, gây ảnh hưởng nghiêm trọng đến toàn bộ hệ thống nếu ứng dụng chạy với quyền cao.

Đặc biệt, lỗ hổng có thể bị khai thác thông qua các workspace export độc hại hoặc dự án chia sẻ giữa các thành viên, khiến rủi ro lây nhiễm trong cộng đồng phát triển rất cao.

Người dùng Insomnia được khuyến cáo lập tức cập nhật lên phiên bản 11.0.2 hoặc mới hơn để tránh các rủi ro đáng tiếc.