Katalog CVE

CVE-2026-56356

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.18%

Percentyl 7 — wyżej niż 7% wszystkich znanych CVE

Streszczenie

n8n zawiera podatność na trwałe ataki XSS w polu Custom CSS węzła Chat Trigger z powodu błędnej konfiguracji biblioteki sanitize-html. Uwierzytelniony użytkownik z uprawnieniami do tworzenia lub modyfikowania przepływów pracy może wstrzyknąć JavaScript omijający sanityzację, co prowadzi do trwałego XSS na każdego użytkownika odwiedzającego publiczną stronę czatu.

Ocena ryzyka

Ryzyko polega na możliwości wykonania dowolnego kodu JavaScript w przeglądarkach innych użytkowników, co może prowadzić do kradzieży sesji, wycieku danych lub przejęcia konta administratora.

Rekomendacja

Zaleca się natychmiastową aktualizację n8n do wersji 1.123.27, 2.13.3 lub 2.14.1 w zależności od używanej linii wydań.

Oryginalny opis (angielski, źródło NVD)

n8n contains a stored cross-site scripting vulnerability in the Chat Trigger node's Custom CSS field due to a misconfiguration of the sanitize-html library. Affected releases are those before 1.123.27, the 2.0.0 through 2.13.2 line, and 2.14.0 (fixed in 1.123.27, 2.13.3, and 2.14.1). An authenticated user with permission to create or modify workflows can inject JavaScript that bypasses sanitization, resulting in stored XSS against any user who visits the public chat page.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS