CVE-2026-54302
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 11 — wyżej niż 11% wszystkich znanych CVE
Streszczenie
W n8n przed wersjami 1.123.55, 2.25.7 i 2.26.2 uwierzytelniony użytkownik z uprawnieniami do edycji przepływów pracy mógł wstrzyknąć dowolny kod JavaScript do strony generowanej przez wyzwalacz czatu poprzez ustawienie złośliwego webhookId. Gdy zalogowany użytkownik odwiedził adres URL czatu, wstrzyknięty kod wykonywał się w kontekście pochodzenia n8n z uprawnieniami sesji tego użytkownika.
Ocena ryzyka
Atakujący może przejąć sesję innego zalogowanego użytkownika, wykraść dane lub wykonać nieautoryzowane operacje w jego imieniu, co stanowi poważne ryzyko dla poufności i integralności systemu.
Rekomendacja
Niezwłocznie zaktualizuj n8n do wersji 1.123.55, 2.25.7 lub 2.26.2, które zawierają poprawkę eliminującą podatność na wstrzykiwanie kodu JavaScript.
Oryginalny opis (angielski, źródło NVD)
n8n is an open source workflow automation platform. Prior to 1.123.55, 2.25.7, and 2.26.2, an authenticated user with workflow edit access could inject arbitrary JavaScript into the Chat Trigger's generated page by setting a malicious webhookId. When a logged-in user visited the chat URL, the injected code executed in the n8n origin with that user's session privileges. This vulnerability is fixed in 1.123.55, 2.25.7, and 2.26.2.

