Katalog CVE

CVE-2026-54307

KrytyczneCVSS 9.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.32%

Percentyl 23 — wyżej niż 23% wszystkich znanych CVE

Streszczenie

W n8n przed wersjami 1.123.55, 2.25.7 i 2.26.2 użytkownik z rolą edytora w udostępnionym przepływie pracy mógł odwoływać się do poświadczeń, których nie był właścicielem, za pomocą określonych publicznych punktów końcowych API. Kontrole własności poświadczeń były egzekwowane tylko częściowo, co prowadziło do nieautoryzowanego dostępu do poświadczeń między użytkownikami.

Ocena ryzyka

Ryzyko polega na możliwości wycieku poufnych poświadczeń (np. haseł, kluczy API) do nieuprawnionych użytkowników, co może skutkować naruszeniem bezpieczeństwa danych i systemów.

Rekomendacja

Należy niezwłocznie zaktualizować n8n do wersji 1.123.55, 2.25.7 lub 2.26.2, w zależności od używanej gałęzi. W międzyczasie warto ograniczyć udostępnianie przepływów pracy tylko do zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

n8n is an open source workflow automation platform. Prior to 1.123.55, 2.25.7, and 2.26.2, a member-level user with editor access to a shared workflow could reference credentials they do not own via specific public API endpoints. Credential ownership checks were only enforced partially leading to cross-user credential access. This issue affects instances where workflow sharing is enabled and at least one workflow has been shared with a member-level user as an Editor. This vulnerability is fixed in 1.123.55, 2.25.7, and 2.26.2.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS