CVE-2026-33722 in n8n情報

要約

〜によって VulDB • 2026年06月05日

n8nはオープンソースのワークフロー自動化プラットフォームです。バージョン2.6.4および1.123.23より前のバージョンでは、外部シークレットの一覧表示権限を持たない認証済みユーザーが、資格情報において外部名でシークレットを参照し、保存時にそのプレーンテキスト値を取得できる脆弱性が存在しました。これにより`externalSecret:list`のアクセス制御チェックを回避でき、管理者またはオーナー権限なしに接続されたボルト(vault)に格納されているシークレットへのアクセスが許可されました。この問題は、インスタンスで外部シークレットボルトが構成されている場合に発生します。攻撃者は対象となるシークレットの名前を知っているか、推測できる必要があります。本脆弱性はn8nバージョン1.123.23および2.6.4で修正されています。ユーザーはこれらのバージョン以降にアップグレードして対策を行ってください。直ちにアップグレードできない場合は、管理者は以下の一時緩和策を検討してください:n8nへのアクセスを完全に信頼できるユーザーのみに制限する、および/またはパッチ適用まで外部シークレット統合機能を無効にする。これらの回避策ではリスクが完全には解消されないため、短期的な対策としてのみ使用してください。

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

責任者

GitHub M

予約する

2026年03月23日

モデレーション

承諾済み

エントリ

VDB-353320

EPSS

0.00260

アクティビティ

非常低い

ソース

Do you know our Splunk app?

Download it now for free!