Katalog CVE

CVE-2026-54303

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.18%

Percentyl 7 — wyżej niż 7% wszystkich znanych CVE

Streszczenie

W n8n przed wersją 2.24.0, endpoint w węzłach wyzwalaczy Meta i Microsoft Teams odbija parametr zapytania w odpowiedzi HTTP bez sanityzacji ani nagłówków Content-Security-Policy, co umożliwia odbite XSS w domenie n8n, gdy zalogowany użytkownik odwiedzi spreparowany URL.

Ocena ryzyka

Atakujący może wykraść sesję lub dane zalogowanego użytkownika, co prowadzi do przejęcia konta i nieautoryzowanego dostępu do przepływów pracy.

Rekomendacja

Zaleca się natychmiastową aktualizację n8n do wersji 2.24.0 lub nowszej, która zawiera poprawkę eliminującą podatność.

Oryginalny opis (angielski, źródło NVD)

n8n is an open source workflow automation platform. Prior to 2.24.0, an endpoint in the Meta and Microsoft Teams trigger nodes reflects a query parameter into the HTTP response without sanitization or Content-Security-Policy headers, enabling reflected XSS in the n8n origin when a logged-in user visits a crafted URL. This vulnerability is fixed in 2.24.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS