CVE-2026-33749 in n8n情報

要約

〜によって VulDB • 2026年06月10日

n8nはオープンソースのワークフロー自動化プラットフォームです。バージョン1.123.27、2.13.3、および2.14.1より前では、ワークフローの作成または変更権限を持つ認証済みユーザーが、ファイル名のないHTMLバイナリデータオブジェクトを生成するワークフローを作成できました。`/rest/binary-data`エンドポイントは、n8nオリジン上でこれらのレスポンスをインラインで提供しており、`Content-Disposition`や`Content-Security-Policy`ヘッダーが付与されていませんでした。これにより、ブラウザ内でHTMLがレンダリングされ、完全な同じ-origin JavaScriptアクセスが可能になりました。攻撃者は結果として得られるURLを高権限ユーザーに送信することで、被害者の認証済みセッションでJavaScriptを実行し、ワークフローや資格情報の漏洩、ワークフローの変更、または管理者への権限昇格を可能にしました。この問題はn8nバージョン1.123.27、2.13.3、および2.14.1で修正されています。ユーザーはこれらのバージョン以降にアップグレードして脆弱性を解消してください。すぐにアップグレードできない場合は、管理者は以下の一時緩和策を検討すべきです:ワークフローの作成と編集権限を完全に信頼できるユーザーのみに制限し、かつ/またはネットワークアクセスをn8nインスタンスに対して制限して、信頼できないユーザーがバイナリデータURLにアクセスできないようにします。これらの回避策ではリスクが完全には解消されないため、短期的な緩和措置としてのみ使用してください。

If you want to get best quality of vulnerability data, you may have to visit VulDB.

責任者

GitHub M

予約する

2026年03月23日

モデレーション

承諾済み

エントリ

VDB-353434

EPSS

0.00249

アクティビティ

非常低い

ソース

Do you know our Splunk app?

Download it now for free!