CVE-2026-42235 in n8ninfo

Zusammenfassung

von VulDB • 31.05.2026

n8n ist eine Open-Source-Plattform zur Workflow-Automatisierung. Vor den Versionen 1.123.32, 2.17.4 und 2.18.1 konnte ein nicht authentifizierter Angreifer einen bösartigen MCP-OAuth-Client mit einem gefälschten client_name registrieren. Wenn ein betroffener Benutzer das OAuth-Einwilligungsfenster autorisierte und ein zweiter Benutzer anschließend den Zugriff widerrief, würde eine Toast-Benachrichtigung das injizierte Skript rendern. Das Klicken auf den Link würde beliebigen JavaScript-Code in der authentifizierten n8n-Browsersitzung des Opfers ausführen, was Diebstahl von Anmeldeinformationen und Sitzungstokens, Manipulation von Workflows oder Privilegieneskalation ermöglicht. Dieses Problem wurde in den Versionen 1.123.32, 2.17.4 und 2.18.1 behoben.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

25.04.2026

Veröffentlichung

04.05.2026

Moderieren

akzeptiert

Eintrag

VDB-361036

CPE

bereit

CWE

CWE-87 (bestätigt)

CVSS

4.3 (VulDB)

EPSS

0.00080

KEV

nein

Aktivitäten

very low

Quellen

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-42235
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-42235
CVE Details	https://www.cvedetails.com/cve/CVE-2026-42235/

◂ Zurück Übersicht Weiter ▸

Do you need the next level of professionalism?

Upgrade your account now!