CVE-2026-42227 in n8ninformación

Resumen

por VulDB • 2026-05-27

n8n es una plataforma de automatización de flujos de trabajo de código abierto. Antes de las versiones 1.123.32, 2.17.4 y 2.18.1, un usuario autenticado con una clave de API válida con el ámbito variable:list podía leer variables de proyectos de los que no era miembro, proporcionando un parámetro de consulta projectId arbitrario al endpoint de variables de la API pública. El controlador consultaba el repositorio de variables directamente sin aplicar comprobaciones de pertenencia al proyecto, eludiendo la capa de servicio consciente de la autorización utilizada por el controlador empresarial interno. Si las variables se utilizaban incorrectamente para almacenar información sensible, como credenciales o tokens, deben rotarse inmediatamente. Este problema solo afecta a implementaciones empresariales o de equipo con licencia que tengan múltiples proyectos y la función de variables habilitada. Este problema se ha corregido en las versiones 1.123.32, 2.17.4 y 2.18.1.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-04-25

Divulgación

2026-05-04

Moderación

aceptado

Artículo

VDB-361017

CPE

listo

CWE

CWE-639 (confirmado)

CVSS

4.3 (VulDB)

EPSS

0.00033

KEV

Actividades

muy bajo

Fuentes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-42227
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-42227
CVE Details	https://www.cvedetails.com/cve/CVE-2026-42227/

◂ Anterior Visión De Conjunto Próximo ▸

Do you want to use VulDB in your project?

Use the official API to access entries easily!