CVE-2026-33749 in n8ninformazioni

Riassunto

di VulDB • 19/06/2026

n8n è una piattaforma di automazione dei flussi di lavoro open source. Prima delle versioni 1.123.27, 2.13.3 e 2.14.1, un utente autenticato con il permesso di creare o modificare flussi di lavoro poteva creare un flusso di lavoro che generava un oggetto dati binario HTML privo di nome file. L'endpoint `/rest/binary-data` serviva tali risposte in linea sull'origine di n8n senza le intestazioni `Content-Disposition` o `Content-Security-Policy`, consentendo il rendering dell'HTML nel browser con pieno accesso JavaScript allo stesso origine (same-origin). Inviando l'URL risultante a un utente con privilegi più elevati, un attaccante poteva eseguire JavaScript nella sessione autenticata della vittima, consentendo l'esfiltrazione di flussi di lavoro e credenziali, la modifica dei flussi di lavoro o l'escalation dei privilegi fino ad amministratore. Il problema è stato risolto nelle versioni di n8n 1.123.27, 2.13.3 e 2.14.1. Gli utenti dovrebbero eseguire l'aggiornamento a una di queste versioni o successive per risolvere la vulnerabilità. Se l'aggiornamento non è immediatamente possibile, gli amministratori dovrebbero considerare le seguenti mitigazioni temporanee: limitare i permessi di creazione e modifica dei flussi di lavoro esclusivamente agli utenti pienamente fidati e/o restringere l'accesso alla rete all'istanza di n8n per impedire agli utenti non fidati di accedere agli URL dei dati binari. Queste soluzioni alternative non risolvono completamente il rischio e dovrebbero essere utilizzate solo come misure di mitigazione a breve termine.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

GitHub M

Prenotare

23/03/2026

Divulgazione

25/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00249

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!