Katalog CVE

CVE-2026-44792

KrytyczneCVSS 9.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.36%

Percentyl 27 — wyżej niż 27% wszystkich znanych CVE

Streszczenie

n8n to platforma automatyzacji procesów roboczych typu open source. Przed wersjami 1.123.43, 2.22.1 i 2.20.7, atakujący z dostępem do zapisu w repozytorium git powiązanym z konfiguracją Source Control n8n mógł wprowadzić złośliwy plik JSON Data Table zawierający spreparowaną nazwę kolumny, co mogło prowadzić do wstrzyknięcia SQL.

Ocena ryzyka

Wykorzystanie tej podatności może prowadzić do kompromitacji bazy danych PostgreSQL, co stwarza poważne zagrożenie dla integralności danych w organizacji.

Rekomendacja

Zaleca się aktualizację n8n do wersji 1.123.43, 2.22.1 lub 2.20.7, aby usunąć tę podatność oraz ograniczenie dostępu do repozytoriów, z których mogą korzystać administratorzy.

Oryginalny opis (angielski, źródło NVD)

n8n is an open source workflow automation platform. Prior to 1.123.43, 2.22.1, and 2.20.7, an attacker with write access to the git repository connected to an n8n Source Control configuration could commit a malicious Data Table JSON file containing a crafted column name. When an administrator performed a Source Control Pull, n8n imported the file and could lead to SQL injection on the internal PostgreSQL instance. Exploitation requires the n8n instance uses PostgreSQL as its database backend, the Source Control feature is enabled and connected to a repository the attacker can write to, and an administrator triggers a Source Control Pull. This vulnerability is fixed in 1.123.43, 2.22.1, and 2.20.7.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS