Katalog CVE

CVE-2026-56348

KrytyczneCVSS 9.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.25%

Percentyl 16 — wyżej niż 16% wszystkich znanych CVE

Streszczenie

n8n w wersjach przed 2.20.0 zawiera podatność na wyciek poświadczeń w punkcie końcowym POST /rest/dynamic-node-parameters/options, co pozwala uwierzytelnionym użytkownikom na obejście ograniczeń dotyczących dozwolonych domen żądań HTTP. Atakujący z dostępem do poświadczeń mogą zmusić serwer n8n do wysyłania żądań HTTP z poświadczeniami do nieautoryzowanych hostów.

Ocena ryzyka

Organizacja narażona jest na wyciek wrażliwych danych uwierzytelniających, co może prowadzić do nieautoryzowanego dostępu do systemów i danych. W przypadku wykorzystania tej podatności, atakujący mogą uzyskać dostęp do poufnych informacji.

Rekomendacja

Zaleca się aktualizację n8n do wersji 2.20.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt dostępu do poświadczeń oraz monitorować logi serwera w celu wykrycia potencjalnych nadużyć.

Oryginalny opis (angielski, źródło NVD)

n8n before 2.20.0 contains a credential exfiltration vulnerability in the POST /rest/dynamic-node-parameters/options endpoint that allows authenticated users to bypass Allowed HTTP Request Domains restrictions. Attackers with credential access can cause the n8n server to issue HTTP requests with credentials to unauthorized hosts, exfiltrating sensitive authentication data.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS