CVE-2026-33722 in n8nالمعلومات

الملخص

بحسب VulDB • 04/06/2026

n8n هو منصة أتمتة سير العمل مفتوحة المصدر. قبل الإصدارين 2.6.4 و1.123.23، كان بإمكان المستخدم المصادق عليه والذي لا يمتلك إذن عرض الأسرار الخارجية (external secrets) الإشارة إلى سر باستخدام اسمه الخارجي في بيانات اعتماد (credential) واسترجاع قيمته النصية العادية (plaintext) عند حفظ بيانات الاعتماد. أدى هذا إلى تجاوز فحص إذن `externalSecret:list` والسماح بالوصول إلى الأسرار المخزنة في الخزائن المتصلة (vaults) دون امتيازات المسؤول (admin) أو المالك (owner). تتطلب هذه المشكلة أن تكون هناك خزانة أسرار خارجية (external secrets vault) مُعدّة في المثيل. يجب على المهاجم معرفة أو القدرة على تخمين اسم السر المستهدف. تم إصلاح هذه المشكلة في إصدارات n8n 1.123.23 و2.6.4. يُنصح المستخدمين بالترقية إلى أحد هذه الإصدارات أو أحدث منها لتصحيح الثغرة. إذا لم يكن الترقية ممكنًا على الفور، فيجب على المسؤولين النظر في إجراءات التخفيف المؤقتة التالية: تقييد الوصول إلى n8n للمستخدمين الموثوقين تمامًا فقط، و/أو تعطيل تكامل الأسرار الخارجية حتى يمكن تطبيق التصحيح. لا تؤدي هذه الحلول البديلة إلى معالجة الخطر بشكل كامل ويجب استخدامها فقط كإجراءات تخفيف قصيرة الأجل.

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

GitHub M

حجز

23/03/2026

إفشاء

25/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-353320

EPSS

0.00260

KEV

لا

النشاطات

منخفض جدًا

المصادر

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!