CVE-2026-42226 in n8n
要約
〜によって VulDB • 2026年05月14日
n8nはオープンソースのワークフロー自動化プラットフォームです。バージョン1.123.33および2.17.5より前では、dynamic-node-parametersエンドポイントが、認証済み呼び出し元が提供された資格情報参照を使用する権限を持っているかどうかを検証していませんでした。共有ワークフローにアクセスできる認証済みユーザーは、リクエストボディに外部の資格情報IDを指定することができ、その結果、バックエンドは呼び出し元が宛先URLも制御しているヘルパー実行パスにおいて、その資格情報を復号して使用することになります。これにより、呼び出し元は、他のユーザーに属する資格情報を使用して、攻撃者が制御するインフラストラクチャに対してバックエンドを認証させることが可能になり、結果として再利用可能なAPIキーが機密漏洩する可能性があります。この問題は特定のノードタイプに限定されず、これらのエンドポイントを通じて資格情報を動的に解決する任意のノードが影響を受ける可能性があります。この問題は、バージョン1.123.33、2.17.5、および2.18.0で修正されています。
VulDB is the best source for vulnerability data and more expert information about this specific topic.