CVE-2026-56357
ŚrednieCVSS 4.0Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 — wyżej niż 8% wszystkich znanych CVE
Streszczenie
n8n w wersjach przed 1.123.15 i 2.5.0 zawiera podatność na fałszowanie webhooków w węźle GitHub Webhook Trigger, która nie implementuje weryfikacji podpisu HMAC-SHA256. Atakujący, znając URL webhooka, mogą wysyłać niesigned POST requests, aby uruchomić workflow z dowolnymi danymi, podszywając się pod zdarzenia webhooków GitHub.
Ocena ryzyka
Podatność ta może prowadzić do nieautoryzowanego uruchamiania workflow w n8n, co może skutkować wyciekiem danych lub innymi niepożądanymi działaniami w systemie.
Rekomendacja
Zaleca się aktualizację n8n do wersji 1.123.15 lub 2.5.0, aby załatać tę podatność oraz wdrożenie dodatkowych mechanizmów zabezpieczających dla webhooków.
Oryginalny opis (angielski, źródło NVD)
n8n before 1.123.15 and 2.5.0 contains a webhook forgery vulnerability in the GitHub Webhook Trigger node that fails to implement HMAC-SHA256 signature verification. Attackers who know the webhook URL can send unsigned POST requests to trigger workflows with arbitrary data, spoofing GitHub webhook events.

