CVE-2026-54307
KrytyczneCVSS 9.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 23 — wyżej niż 23% wszystkich znanych CVE
Streszczenie
W n8n przed wersjami 1.123.55, 2.25.7 i 2.26.2 użytkownik z rolą edytora w udostępnionym przepływie pracy mógł odwoływać się do poświadczeń, których nie był właścicielem, za pomocą określonych publicznych punktów końcowych API. Kontrole własności poświadczeń były egzekwowane tylko częściowo, co prowadziło do nieautoryzowanego dostępu do poświadczeń między użytkownikami.
Ocena ryzyka
Ryzyko polega na możliwości wycieku poufnych poświadczeń (np. haseł, kluczy API) do nieuprawnionych użytkowników, co może skutkować naruszeniem bezpieczeństwa danych i systemów.
Rekomendacja
Należy niezwłocznie zaktualizować n8n do wersji 1.123.55, 2.25.7 lub 2.26.2, w zależności od używanej gałęzi. W międzyczasie warto ograniczyć udostępnianie przepływów pracy tylko do zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
n8n is an open source workflow automation platform. Prior to 1.123.55, 2.25.7, and 2.26.2, a member-level user with editor access to a shared workflow could reference credentials they do not own via specific public API endpoints. Credential ownership checks were only enforced partially leading to cross-user credential access. This issue affects instances where workflow sharing is enabled and at least one workflow has been shared with a member-level user as an Editor. This vulnerability is fixed in 1.123.55, 2.25.7, and 2.26.2.

