CVE-2026-33720 in n8ninformation

Résumé

par VulDB • 02/06/2026

n8n est une plateforme d'automatisation des workflows open source. Avant la version 2.8.0, lorsque la variable d'environnement `N8N_SKIP_AUTH_ON_OAUTH_CALLBACK` est définie sur `true`, le gestionnaire de rappel OAuth (OAuth callback handler) saute la vérification de la propriété du paramètre d'état OAuth. Cela permet à un attaquant de tromper une victime en la poussant à finaliser un flux OAuth contre un objet d'identifiants contrôlé par l'attaquant, ce qui entraîne le stockage des jetons OAuth de la victime dans les identifiants de l'attaquant. L'attaquant peut ensuite utiliser ces jetons pour exécuter des workflows en son nom. Ce problème affecte uniquement les instances où `N8N_SKIP_AUTH_ON_OAUTH_CALLBACK=true` est explicitement configuré (configuration non par défaut). Le problème a été corrigé dans la version 2.8.0 de n8n. Les utilisateurs doivent mettre à niveau vers cette version ou une version ultérieure pour remédier à la vulnérabilité. Si la mise à niveau n'est pas immédiatement possible, les administrateurs devraient envisager les mesures d'atténuation temporaires suivantes : éviter d'activer `N8N_SKIP_AUTH_ON_OAUTH_CALLBACK=true` sauf si cela est strictement nécessaire, et/ou restreindre l'accès à l'instance n8n aux utilisateurs entièrement de confiance. Ces contournements ne remédient pas entièrement au risque et ne doivent être utilisés que comme mesures d'atténuation à court terme.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

GitHub M

Réserver

23/03/2026

Divulgation

25/03/2026

Modérer

accepté

Entrée

VDB-353319

CPE

prêt

EPSS

0.00180

KEV

non

Activités

très faible

Sources

Do you want to use VulDB in your project?

Use the official API to access entries easily!