CVE-2026-54314
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 29 — wyżej niż 29% wszystkich znanych CVE
Streszczenie
n8n to platforma automatyzacji procesów, która przed wersją 2.24.0 miała problem z węzłem Kompresji, który pozwalał na dekompresję archiwów kontrolowanych przez atakującego bez ograniczeń na rozmiar dekompresowanego wyjścia. Atakujący mógł wysłać małe skompresowane archiwum do publicznego webhooka, co prowadziło do wyczerpania pamięci i zakończenia procesu n8n.
Ocena ryzyka
Podatność ta może prowadzić do awarii wszystkich procesów roboczych w danej instancji n8n, co może zakłócić działanie organizacji i jej automatyzacji.
Rekomendacja
Zaleca się aktualizację do wersji 2.24.0 lub nowszej, aby usunąć tę podatność i zabezpieczyć system przed potencjalnymi atakami.
Oryginalny opis (angielski, źródło NVD)
n8n is an open source workflow automation platform. Prior to 2.24.0, the Compression node's Decompress operation expanded attacker-controlled archives into memory without enforcing limits on decompressed output size. An unauthenticated attacker could send a small compressed archive to a public webhook workflow using this node, causing the n8n process to terminate due to memory exhaustion and disrupting all workflows in the same instance. This vulnerability is fixed in 2.24.0.

