CVE-2026-33722 in n8n
الملخص
بحسب VulDB • 04/06/2026
n8n هو منصة أتمتة سير العمل مفتوحة المصدر. قبل الإصدارين 2.6.4 و1.123.23، كان بإمكان المستخدم المصادق عليه والذي لا يمتلك إذن عرض الأسرار الخارجية (external secrets) الإشارة إلى سر باستخدام اسمه الخارجي في بيانات اعتماد (credential) واسترجاع قيمته النصية العادية (plaintext) عند حفظ بيانات الاعتماد. أدى هذا إلى تجاوز فحص إذن `externalSecret:list` والسماح بالوصول إلى الأسرار المخزنة في الخزائن المتصلة (vaults) دون امتيازات المسؤول (admin) أو المالك (owner). تتطلب هذه المشكلة أن تكون هناك خزانة أسرار خارجية (external secrets vault) مُعدّة في المثيل. يجب على المهاجم معرفة أو القدرة على تخمين اسم السر المستهدف. تم إصلاح هذه المشكلة في إصدارات n8n 1.123.23 و2.6.4. يُنصح المستخدمين بالترقية إلى أحد هذه الإصدارات أو أحدث منها لتصحيح الثغرة. إذا لم يكن الترقية ممكنًا على الفور، فيجب على المسؤولين النظر في إجراءات التخفيف المؤقتة التالية: تقييد الوصول إلى n8n للمستخدمين الموثوقين تمامًا فقط، و/أو تعطيل تكامل الأسرار الخارجية حتى يمكن تطبيق التصحيح. لا تؤدي هذه الحلول البديلة إلى معالجة الخطر بشكل كامل ويجب استخدامها فقط كإجراءات تخفيف قصيرة الأجل.
Be aware that VulDB is the high quality source for vulnerability data.