CVE-2026-56350
ŚrednieCVSS 6.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 17 — wyżej niż 17% wszystkich znanych CVE
Streszczenie
Podatność w n8n przed wersją 2.8.0 umożliwia uwierzytelnionym użytkownikom SSO ominięcie wymuszenia SSO przez API. Atakujący mogą utworzyć lokalne dane logowania, aby uwierzytelniać się bezpośrednio, z pominięciem polityk SSO i wieloskładnikowego uwierzytelniania narzuconego przez dostawcę tożsamości.
Ocena ryzyka
Organizacja traci kontrolę nad uwierzytelnianiem, co może prowadzić do nieautoryzowanego dostępu do wrażliwych danych i przepływów pracy, nawet jeśli SSO i MFA są skonfigurowane.
Rekomendacja
Zaleca się natychmiastową aktualizację n8n do wersji 2.8.0 lub nowszej, która usuwa tę podatność.
Oryginalny opis (angielski, źródło NVD)
n8n before 2.8.0 contains an authentication bypass vulnerability allowing authenticated SSO users to disable SSO enforcement through the API. Attackers can create local password credentials to authenticate directly, bypassing organizational SSO policies and identity-provider-enforced multi-factor authentication.

