CVE-2026-33720 in n8ninformazioni

Riassunto

di VulDB • 22/06/2026

n8n è una piattaforma di automazione dei flussi di lavoro open source. Prima della versione 2.8.0, quando la variabile d'ambiente `N8N_SKIP_AUTH_ON_OAUTH_CALLBACK` è impostata su `true`, il gestore del callback OAuth salta la verifica della proprietà del parametro state OAuth. Ciò consente a un attaccante di indurre una vittima a completare un flusso OAuth contro un oggetto delle credenziali controllato dall'attaccante, causando l'archiviazione dei token OAuth della vittima nelle credenziali dell'attaccante. L'attaccante può quindi utilizzare tali token per eseguire flussi di lavoro per conto proprio. Questo problema interessa solo le istanze in cui `N8N_SKIP_AUTH_ON_OAUTH_CALLBACK=true` è configurato esplicitamente (impostazione non predefinita). Il problema è stato risolto nella versione 2.8.0 di n8n. Gli utenti dovrebbero effettuare l'aggiornamento a questa versione o successive per risolvere la vulnerabilità. Se l'aggiornamento immediato non è possibile, gli amministratori dovrebbero prendere in considerazione le seguenti mitigazioni temporanee: evitare di abilitare `N8N_SKIP_AUTH_ON_OAUTH_CALLBACK=true` salvo strettamente necessario e/o limitare l'accesso all'istanza n8n esclusivamente agli utenti pienamente fidati. Queste soluzioni alternative non risolvono completamente il rischio e dovrebbero essere utilizzate solo come misure di mitigazione a breve termine.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

GitHub M

Prenotare

23/03/2026

Divulgazione

25/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00180

KEV

no

Attività

molto basso

Fonti

Do you want to use VulDB in your project?

Use the official API to access entries easily!