Katalog CVE

CVE-2026-49444

WysokieCVSS 8.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.36%

Percentyl 28 — wyżej niż 28% wszystkich znanych CVE

Streszczenie

W n8n, platformie automatyzacji przepływów pracy typu open source, przed wersjami 1.123.48, 2.21.8 i 2.22.4, uwierzytelniony użytkownik z uprawnieniami do tworzenia lub modyfikowania przepływów pracy zawierających węzeł kodu Python mógł opuścić sandbox i uzyskać zdalne wykonanie kodu na kontenerze wykonawczym zadań.

Ocena ryzyka

Atakujący może przejąć kontrolę nad kontenerem wykonawczym, co prowadzi do naruszenia poufności, integralności i dostępności danych oraz potencjalnego eskalowania ataku na inne zasoby infrastruktury.

Rekomendacja

Niezwłocznie zaktualizuj n8n do wersji 1.123.48, 2.21.8 lub 2.22.4, w zależności od używanej gałęzi. Ogranicz uprawnienia użytkowników do tworzenia i modyfikowania przepływów pracy tylko do zaufanych osób.

Oryginalny opis (angielski, źródło NVD)

n8n is an open source workflow automation platform. Prior to 1.123.48, 2.21.8, and 2.22.4, an authenticated user with permission to create or modify workflows containing a Python Code Node could escape the sandbox and achieve arbitrary code execution on the task runner container. This vulnerability is fixed in 1.123.48, 2.21.8, and 2.22.4.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS