CVE-2026-33720 in n8n
要約
〜によって VulDB • 2026年05月11日
n8nはオープンソースのワークフロー自動化プラットフォームです。バージョン2.8.0より前では、`N8N_SKIP_AUTH_ON_OAUTH_CALLBACK`環境変数が`true`に設定されている場合、OAuthコールバックハンドラはOAuthステートパラメータの所有権検証をスキップします。これにより、攻撃者は被害者をだまして、攻撃者が制御する資格情報オブジェクトに対してOAuthフローを完了させることができます。その結果、被害者のOAuthトークンが攻撃者の資格情報に保存されます。攻撃者はその後、これらのトークンを使用して被害者の名前でワークフローを実行できます。この問題は、`N8N_SKIP_AUTH_ON_OAUTH_CALLBACK=true`が明示的に設定されている(デフォルトではない)インスタンスにのみ影響します。この問題はn8nバージョン2.8.0で修正されています。ユーザーはこのバージョン以降にアップグレードして、脆弱性を修正する必要があります。すぐにアップグレードできない場合は、管理者は以下の一時緩和策を検討すべきです:`N8N_SKIP_AUTH_ON_OAUTH_CALLBACK=true`を厳密に必要とされない限り有効にしない、および/またはn8nインスタンスへのアクセスを完全に信頼できるユーザーのみに制限する。これらの回避策はリスクを完全に解消するものではなく、短期的な緩和策としてのみ使用すべきです。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.