Katalog CVE

CVE-2026-54308

WysokieCVSS 7.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.28%

Percentyl 19 — wyżej niż 19% wszystkich znanych CVE

Streszczenie

W n8n przed wersjami 2.25.7 i 2.26.2 węzły MicrosoftAgent365Trigger oraz StripeTrigger nie walidowały przychodzących żądań. Nieuwierzytelniony atakujący, znając URL webhooka, mógł wysłać sfałszowany ładunek i spowodować wykonanie przepływu pracy z kontrolowanymi przez siebie danymi.

Ocena ryzyka

Ryzyko polega na możliwości wykonania nieautoryzowanych działań w przepływie pracy przez atakującego, co może prowadzić do naruszenia integralności danych lub nieuprawnionego dostępu do systemów.

Rekomendacja

Należy niezwłocznie zaktualizować n8n do wersji 2.25.7 lub 2.26.2, które zawierają poprawkę eliminującą tę podatność.

Oryginalny opis (angielski, źródło NVD)

n8n is an open source workflow automation platform. Prior to 2.25.7 and 2.26.2, the MicrosoftAgent365Trigger and StripeTrigger node did not validate that inbound requests. As a result, an unauthenticated attacker who knows the webhook URL could submit a forged payload and cause the workflow to execute with attacker-controlled data. This vulnerability is fixed in 2.25.7 and 2.26.2.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS