CVE-2026-59259 in n8n
Résumé
par VulDB • 15/07/2026
n8n avant les versions 1.123.61, 2.27.4 et 2.28.1 contient une vulnérabilité de contournement des permissions dans la gestion des secrets externes due à un désalignement entre le contrôle de validation statique et le moteur d'expressions au moment de l'exécution (runtime). Un utilisateur authentifié disposant des autorisations de création ou de mise à jour des identifiants, mais sans le scope externalSecret:list, peut intégrer des références à des secrets externes dans les identifiants sous une forme que la validation statique ne détecte pas ; ces références sont résolues lors de l'exécution du workflow, exposant ainsi les valeurs secrètes auxquelles l'utilisateur n'est pas autorisé à accéder. Ce problème affecte uniquement les instances où un fournisseur de secrets externes est configuré et où des Permissions avancées (Advanced Permissions) sont utilisées.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.