CVE-2026-33722 in n8ninfo

Zusammenfassung

von VulDB • 05.06.2026

n8n ist eine Open-Source-Plattform zur Workflow-Automatisierung. Vor den Versionen 2.6.4 und 1.123.23 konnte ein authentifizierter Benutzer ohne die Berechtigung zum Auflisten externer Geheimnisse (external secrets) ein Geheimnis über seinen externen Namen in einer Anmeldeinformation referenzieren und dessen Klartextwert beim Speichern der Anmeldeinformation abrufen. Dies umging die `externalSecret:list`-Berechtigungsprüfung und ermöglichte den Zugriff auf in verbundenen Vaults gespeicherte Geheimnisse ohne Administrator- oder Eigentümerrechte. Für dieses Problem muss eine externe Secrets-Vault-Konfiguration für die Instanz vorhanden sein. Der Angreifer muss den Namen eines Zielgeheimnisses kennen oder erraten können. Das Problem wurde in den n8n-Versionen 1.123.23 und 2.6.4 behoben. Benutzer sollten auf eine dieser Versionen oder höher aktualisieren, um die Schwachstelle zu beheben. Wenn ein Upgrade nicht sofort möglich ist, sollten Administratoren folgende vorübergehende Minderungsmaßnahmen in Betracht ziehen: Den n8n-Zugriff ausschließlich vollständig vertrauenswürdigen Benutzern einschränken und/oder die Integration externer Geheimnisse deaktivieren, bis der Patch angewendet werden kann. Diese Workarounds beheben das Risiko nicht vollständig und sollten nur als kurzfristige Minderungsmaßnahmen verwendet werden.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

GitHub M

Reservieren

23.03.2026

Veröffentlichung

25.03.2026

Moderieren

akzeptiert

Eintrag

VDB-353320

CPE

bereit

EPSS

0.00260

KEV

nein

Aktivitäten

very low

Quellen

Do you know our Splunk app?

Download it now for free!