CVE-2026-56777
ŚrednieCVSS 5.0Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 16 — wyżej niż 16% wszystkich znanych CVE
Streszczenie
Podatność w n8n przed wersją 2.25.7 oraz w wersjach 2.26.x przed 2.26.2 umożliwia ominięcie walidatora bezpieczeństwa drzewa składniowego (AST) w węźle Python Code. Uwierzytelniony użytkownik z uprawnieniami do tworzenia lub modyfikowania przepływów pracy zawierających ten węzeł może uzyskać dostęp do przestrzeni nazw modułu wykonawczego zadań.
Ocena ryzyka
Ryzyko polega na możliwości ujawnienia zmiennych środowiskowych dostępnych dla procesu wykonawczego zadań, co może prowadzić do wycieku wrażliwych danych konfiguracyjnych. Problem dotyczy tylko samodzielnie hostowanych instancji z włączonym Python Task Runner i odpowiednio skonfigurowanym N8N_BLOCK_RUNNER_ENV_ACCESS.
Rekomendacja
Należy niezwłocznie zaktualizować n8n do wersji 2.25.7, 2.26.2 lub nowszej. W przypadku braku możliwości aktualizacji, rozważ wyłączenie Python Task Runner lub ograniczenie dostępu do węzła Python Code dla nieuprawnionych użytkowników.
Oryginalny opis (angielski, źródło NVD)
n8n before 2.25.7 and 2.26.x before 2.26.2 contains an abstract syntax tree (AST) security validator bypass in the Python Code node. An authenticated user with permission to create or modify workflows containing a Python Code node can bypass the validator and access the task executor module namespace. The issue only affects self-hosted instances where the Python Task Runner is enabled; where N8N_BLOCK_RUNNER_ENV_ACCESS is configured to allow it, this can disclose environment variables accessible to the task runner process.

