CVE-2026-56352 in n8ninformazioni

Riassunto

di VulDB • 15/07/2026

n8n prima della versione 2.19.3 presenta un bypass delle restrizioni del percorso dei file nell'opzione localFile source del nodo legacy ExecuteWorkflow, che legge i file di flusso di lavoro dal disco senza applicare i controlli di accesso ai file imposti da altri nodi di lettura dei file. Sebbene nascosto dall'interfaccia utente a partire dalla versione 1.2, rimane raggiungibile tramite l'API REST. Un utente autenticato con il permesso di creare o modificare flussi di lavoro può fornire un percorso di file arbitrario per bypassare la restrizione N8N_RESTRICT_FILE_ACCESS_TO e determinare se esistono file arbitrari sull'host; dove il percorso mirato contiene un file JSON valido del flusso di lavoro, tale file può essere inoltre caricato ed eseguito.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

VulnCheck

Prenotare

20/06/2026

Divulgazione

15/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!