CVE-2026-33720 in n8n
الملخص
بحسب VulDB • 04/06/2026
ن8n هو منصة أتمتة سير العمل مفتوحة المصدر. قبل الإصدار 2.8.0، عندما تكون متغير البيئة `N8N_SKIP_AUTH_ON_OAUTH_CALLBACK` مضبوطاً على القيمة `true`، يتجاوز معالج استدعاء OAuth التحقق من ملكية معلمة حالة OAuth. وهذا يتيح لمهاجم خداع ضحية لإكمال تدفق OAuth ضد كائن بيانات اعتماد يسيطر عليه المهاجم، مما يؤدي إلى تخزين رموز OAuth الخاصة بالضحية في بيانات الاعتماد التابعة للمهاجم. يمكن بعد ذلك استخدام هذه الرموز لتنفيذ سير العمل باسم الضحية. يؤثر هذا الخطأ فقط على المثيلات التي يتم فيها تكوين `N8N_SKIP_AUTH_ON_OAUTH_CALLBACK=true` بشكل صريح (وهو الإعداد غير الافتراضي). تم إصلاح المشكلة في إصدار n8n 2.8.0. يجب على المستخدمين الترقية إلى هذا الإصدار أو أحدث لتصحيح الثغرة الأمنية. إذا لم يكن الترقية ممكنة فوراً، ينبغي للمسؤولين النظر في إجراءات التخفيف المؤقتة التالية: تجنب تفعيل `N8N_SKIP_AUTH_ON_OAUTH_CALLBACK=true` إلا عند الضرورة القصوى، و/أو تقييد الوصول إلى مثيل n8n للمستخدمين الموثوق بهم تماماً فقط. لا تؤدي هذه الحلول البديلة إلى تصحيح الخطر بشكل كامل ويجب استخدامها كإجراءات تخفيف قصيرة الأجل فقط.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.