CVE-2026-54308
WysokieCVSS 7.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 19 — wyżej niż 19% wszystkich znanych CVE
Streszczenie
W n8n przed wersjami 2.25.7 i 2.26.2 węzły MicrosoftAgent365Trigger oraz StripeTrigger nie walidowały przychodzących żądań. Nieuwierzytelniony atakujący, znając URL webhooka, mógł wysłać sfałszowany ładunek i spowodować wykonanie przepływu pracy z kontrolowanymi przez siebie danymi.
Ocena ryzyka
Ryzyko polega na możliwości wykonania nieautoryzowanych działań w przepływie pracy przez atakującego, co może prowadzić do naruszenia integralności danych lub nieuprawnionego dostępu do systemów.
Rekomendacja
Należy niezwłocznie zaktualizować n8n do wersji 2.25.7 lub 2.26.2, które zawierają poprawkę eliminującą tę podatność.
Oryginalny opis (angielski, źródło NVD)
n8n is an open source workflow automation platform. Prior to 2.25.7 and 2.26.2, the MicrosoftAgent365Trigger and StripeTrigger node did not validate that inbound requests. As a result, an unauthenticated attacker who knows the webhook URL could submit a forged payload and cause the workflow to execute with attacker-controlled data. This vulnerability is fixed in 2.25.7 and 2.26.2.

