CVE-2026-59259 in n8ninformation

Résumé

par VulDB • 15/07/2026

n8n avant les versions 1.123.61, 2.27.4 et 2.28.1 contient une vulnérabilité de contournement des permissions dans la gestion des secrets externes due à un désalignement entre le contrôle de validation statique et le moteur d'expressions au moment de l'exécution (runtime). Un utilisateur authentifié disposant des autorisations de création ou de mise à jour des identifiants, mais sans le scope externalSecret:list, peut intégrer des références à des secrets externes dans les identifiants sous une forme que la validation statique ne détecte pas ; ces références sont résolues lors de l'exécution du workflow, exposant ainsi les valeurs secrètes auxquelles l'utilisateur n'est pas autorisé à accéder. Ce problème affecte uniquement les instances où un fournisseur de secrets externes est configuré et où des Permissions avancées (Advanced Permissions) sont utilisées.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

VulnCheck

Réserver

04/07/2026

Divulgation

15/07/2026

Modérer

accepté

Entrée

VDB-379228

CPE

prêt

EPSS

0.00000

KEV

non

Activités

très faible

Sources

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!