CVE-2026-33720 in n8nالمعلومات

الملخص

بحسب VulDB • 04/06/2026

ن8n هو منصة أتمتة سير العمل مفتوحة المصدر. قبل الإصدار 2.8.0، عندما تكون متغير البيئة `N8N_SKIP_AUTH_ON_OAUTH_CALLBACK` مضبوطاً على القيمة `true`، يتجاوز معالج استدعاء OAuth التحقق من ملكية معلمة حالة OAuth. وهذا يتيح لمهاجم خداع ضحية لإكمال تدفق OAuth ضد كائن بيانات اعتماد يسيطر عليه المهاجم، مما يؤدي إلى تخزين رموز OAuth الخاصة بالضحية في بيانات الاعتماد التابعة للمهاجم. يمكن بعد ذلك استخدام هذه الرموز لتنفيذ سير العمل باسم الضحية. يؤثر هذا الخطأ فقط على المثيلات التي يتم فيها تكوين `N8N_SKIP_AUTH_ON_OAUTH_CALLBACK=true` بشكل صريح (وهو الإعداد غير الافتراضي). تم إصلاح المشكلة في إصدار n8n 2.8.0. يجب على المستخدمين الترقية إلى هذا الإصدار أو أحدث لتصحيح الثغرة الأمنية. إذا لم يكن الترقية ممكنة فوراً، ينبغي للمسؤولين النظر في إجراءات التخفيف المؤقتة التالية: تجنب تفعيل `N8N_SKIP_AUTH_ON_OAUTH_CALLBACK=true` إلا عند الضرورة القصوى، و/أو تقييد الوصول إلى مثيل n8n للمستخدمين الموثوق بهم تماماً فقط. لا تؤدي هذه الحلول البديلة إلى تصحيح الخطر بشكل كامل ويجب استخدامها كإجراءات تخفيف قصيرة الأجل فقط.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مسؤول

GitHub M

حجز

23/03/2026

إفشاء

25/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-353319

EPSS

0.00180

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you need the next level of professionalism?

Upgrade your account now!