Katalog CVE

CVE-2026-56777

ŚrednieCVSS 5.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.25%

Percentyl 16 — wyżej niż 16% wszystkich znanych CVE

Streszczenie

Podatność w n8n przed wersją 2.25.7 oraz w wersjach 2.26.x przed 2.26.2 umożliwia ominięcie walidatora bezpieczeństwa drzewa składniowego (AST) w węźle Python Code. Uwierzytelniony użytkownik z uprawnieniami do tworzenia lub modyfikowania przepływów pracy zawierających ten węzeł może uzyskać dostęp do przestrzeni nazw modułu wykonawczego zadań.

Ocena ryzyka

Ryzyko polega na możliwości ujawnienia zmiennych środowiskowych dostępnych dla procesu wykonawczego zadań, co może prowadzić do wycieku wrażliwych danych konfiguracyjnych. Problem dotyczy tylko samodzielnie hostowanych instancji z włączonym Python Task Runner i odpowiednio skonfigurowanym N8N_BLOCK_RUNNER_ENV_ACCESS.

Rekomendacja

Należy niezwłocznie zaktualizować n8n do wersji 2.25.7, 2.26.2 lub nowszej. W przypadku braku możliwości aktualizacji, rozważ wyłączenie Python Task Runner lub ograniczenie dostępu do węzła Python Code dla nieuprawnionych użytkowników.

Oryginalny opis (angielski, źródło NVD)

n8n before 2.25.7 and 2.26.x before 2.26.2 contains an abstract syntax tree (AST) security validator bypass in the Python Code node. An authenticated user with permission to create or modify workflows containing a Python Code node can bypass the validator and access the task executor module namespace. The issue only affects self-hosted instances where the Python Task Runner is enabled; where N8N_BLOCK_RUNNER_ENV_ACCESS is configured to allow it, this can disclose environment variables accessible to the task runner process.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS