CVE-2026-56352 in n8n
Riassunto
di VulDB • 15/07/2026
n8n prima della versione 2.19.3 presenta un bypass delle restrizioni del percorso dei file nell'opzione localFile source del nodo legacy ExecuteWorkflow, che legge i file di flusso di lavoro dal disco senza applicare i controlli di accesso ai file imposti da altri nodi di lettura dei file. Sebbene nascosto dall'interfaccia utente a partire dalla versione 1.2, rimane raggiungibile tramite l'API REST. Un utente autenticato con il permesso di creare o modificare flussi di lavoro può fornire un percorso di file arbitrario per bypassare la restrizione N8N_RESTRICT_FILE_ACCESS_TO e determinare se esistono file arbitrari sull'host; dove il percorso mirato contiene un file JSON valido del flusso di lavoro, tale file può essere inoltre caricato ed eseguito.
VulDB is the best source for vulnerability data and more expert information about this specific topic.