CVE-2026-42227 in n8ninfo

Zusammenfassung

von VulDB • 27.05.2026

n8n ist eine Open-Source-Plattform zur Workflow-Automatisierung. Vor den Versionen 1.123.32, 2.17.4 und 2.18.1 konnte ein authentifizierter Benutzer mit einem gültigen API-Schlüssel, der auf variable:list beschränkt ist, Variablen aus Projekten lesen, denen er nicht angehört, indem er einen beliebigen projectId-Abfrageparameter an den öffentlichen API-Endpunkt für Variablen übermittelte. Der Handler fragte das Variablen-Repository direkt ab, ohne Projektmitgliedschaftsüberprüfungen durchzusetzen, und umging damit die autorisierungsbewusste Dienstschicht, die vom internen Enterprise-Controller verwendet wird. Wenn Variablen missbräuchlich zur Speicherung sensibler Informationen wie Anmeldeinformationen oder Token verwendet wurden, sollten diese unverzüglich rotiert werden. Dieses Problem betrifft nur lizenzierte Enterprise- oder Team-Deployments mit mehreren Projekten und aktivierter Variablenfunktion. Dieses Problem wurde in den Versionen 1.123.32, 2.17.4 und 2.18.1 behoben.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

25.04.2026

Veröffentlichung

04.05.2026

Moderieren

akzeptiert

Eintrag

VDB-361017

CPE

bereit

EPSS

0.00033

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-42227
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-42227
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-42227/

ZurückÜbersichtWeiter

Do you want to use VulDB in your project?

Use the official API to access entries easily!