CVE-2026-33720 in n8ninfo

Zusammenfassung

von VulDB • 04.06.2026

n8n ist eine Open-Source-Plattform zur Workflow-Automatisierung. Vor Version 2.8.0 überspringt der OAuth-Callback-Handler die Eigentumsüberprüfung des OAuth-State-Parameters, wenn die Umgebungsvariable `N8N_SKIP_AUTH_ON_OAUTH_CALLBACK` auf `true` gesetzt ist. Dies ermöglicht es einem Angreifer, ein Opfer dazu zu bringen, einen OAuth-Ablauf gegen ein vom Angreifer kontrolliertes Anmeldeinformationsobjekt abzuschließen, wodurch die OAuth-Token des Opfers in den Anmeldeinformationen des Angreifers gespeichert werden. Der Angreifer kann diese Token anschließend verwenden, um Workflows im Namen des Opfers auszuführen. Dieses Problem betrifft nur Instanzen, bei denen `N8N_SKIP_AUTH_ON_OAUTH_CALLBACK=true` explizit konfiguriert ist (nicht standardmäßig). Das Problem wurde in n8n Version 2.8.0 behoben. Benutzer sollten auf diese Version oder eine spätere Version aktualisieren, um die Schwachstelle zu beheben. Wenn ein Upgrade nicht sofort möglich ist, sollten Administratoren folgende vorübergehende Gegenmaßnahmen erwägen: Vermeiden Sie das Aktivieren von `N8N_SKIP_AUTH_ON_OAUTH_CALLBACK=true`, es sei denn, dies ist unbedingt erforderlich, und/oder beschränken Sie den Zugriff auf die n8n-Instanz ausschließlich auf vollständig vertrauenswürdige Benutzer. Diese Workarounds beheben das Risiko nicht vollständig und sollten nur als kurzfristige Abhilfemaßnahmen verwendet werden.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

GitHub M

Reservieren

23.03.2026

Veröffentlichung

25.03.2026

Moderieren

akzeptiert

Eintrag

VDB-353319

CPE

bereit

EPSS

0.00180

KEV

nein

Aktivitäten

very low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!