Katalog CVE

CVE-2026-54302

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.21%

Percentyl 11 — wyżej niż 11% wszystkich znanych CVE

Streszczenie

W n8n przed wersjami 1.123.55, 2.25.7 i 2.26.2 uwierzytelniony użytkownik z uprawnieniami do edycji przepływów pracy mógł wstrzyknąć dowolny kod JavaScript do strony generowanej przez wyzwalacz czatu poprzez ustawienie złośliwego webhookId. Gdy zalogowany użytkownik odwiedził adres URL czatu, wstrzyknięty kod wykonywał się w kontekście pochodzenia n8n z uprawnieniami sesji tego użytkownika.

Ocena ryzyka

Atakujący może przejąć sesję innego zalogowanego użytkownika, wykraść dane lub wykonać nieautoryzowane operacje w jego imieniu, co stanowi poważne ryzyko dla poufności i integralności systemu.

Rekomendacja

Niezwłocznie zaktualizuj n8n do wersji 1.123.55, 2.25.7 lub 2.26.2, które zawierają poprawkę eliminującą podatność na wstrzykiwanie kodu JavaScript.

Oryginalny opis (angielski, źródło NVD)

n8n is an open source workflow automation platform. Prior to 1.123.55, 2.25.7, and 2.26.2, an authenticated user with workflow edit access could inject arbitrary JavaScript into the Chat Trigger's generated page by setting a malicious webhookId. When a logged-in user visited the chat URL, the injected code executed in the n8n origin with that user's session privileges. This vulnerability is fixed in 1.123.55, 2.25.7, and 2.26.2.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS