CVE-2026-33722 in n8ninformazioni

Riassunto

di VulDB • 15/06/2026

n8n è una piattaforma di automazione dei flussi di lavoro open source. Prima delle versioni 2.6.4 e 1.123.23, un utente autenticato senza l'autorizzazione per elencare i segreti esterni poteva fare riferimento a un segreto tramite il nome esterno in un set di credenziali e recuperarne il valore in chiaro durante il salvataggio della credenziale. Ciò ha aggirato il controllo dell'autorizzazione `externalSecret:list` consentendo l'accesso ai segreti archiviati nei vault connessi senza privilegi di amministratore o proprietario. Questo problema richiede che l'istanza abbia un vault per i segreti esterni configurato. L'attaccante deve conoscere o essere in grado di indovinare il nome del segreto target. Il problema è stato risolto nelle versioni n8n 1.123.23 e 2.6.4. Gli utenti dovrebbero eseguire l'aggiornamento a una di queste versioni o successive per risolvere la vulnerabilità. Se l'aggiornamento non è immediatamente possibile, gli amministratori dovrebbero prendere in considerazione le seguenti mitigazioni temporanee: limitare l'accesso a n8n esclusivamente agli utenti completamente fidati e/o disabilitare l'integrazione dei segreti esterni fino all'applicazione della patch. Queste soluzioni alternative non risolvono completamente il rischio e devono essere utilizzate solo come misure di mitigazione a breve termine.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

GitHub M

Prenotare

23/03/2026

Divulgazione

25/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00260

KEV

no

Attività

molto basso

Fonti

Do you want to use VulDB in your project?

Use the official API to access entries easily!