CVE-2026-33749 in n8n정보

요약

\~에 의해 VulDB • 2026. 06. 10.

n8n은 오픈 소스 워크플로우 자동화 플랫폼입니다. 버전 1.123.27, 2.13.3 및 2.14.1 이전의 n8n에서는 워크플로우 생성 또는 수정 권한이 있는 인증된 사용자가 파일명이 없는 HTML 이진 데이터 객체를 생성하는 워크플로우를 구성할 수 있었습니다. `/rest/binary-data` 엔드포인트는 `Content-Disposition` 또는 `Content-Security-Policy` 헤더 없이 n8n 도메인 내에서 이러한 응답을 인라인으로 제공했으며, 이로 인해 브라우저에서 HTML이 렌더링될 때 동일한 출처의 JavaScript에 대한 전체 접근 권한이 허용되었습니다. 공격자는 결과 URL을 더 높은 권한을 가진 사용자에게 전송하여 피해자의 인증된 세션에서 JavaScript를 실행할 수 있었고, 이를 통해 워크플로우 및 자격 증명 탈취, 워크플로우 수정 또는 관리자 권한 상승이 가능해졌습니다. 이 문제는 n8n 버전 1.123.27, 2.13.3 및 2.14.1에서 해결되었습니다. 사용자는 취약점을 완화하기 위해 해당 버전 중 하나로 업그레이드하거나 그 이후 버전을 사용해야 합니다. 즉시 업그레이드가 불가능한 경우 관리자는 다음과 같은 임시 조치를 고려해야 합니다: 워크플로우 생성 및 편집 권한을 완전히 신뢰할 수 있는 사용자에만 제한하고, n8n 인스턴스에 대한 네트워크 접근을 제한하여 신뢰할 수 없는 사용자가 이진 데이터 URL에 액세스하지 못하도록 방지합니다. 이러한 우회 방법은 위험을 완전히 완화하지 않으며 단기적인 완화 조치로만 사용해야 합니다.

Once again VulDB remains the best source for vulnerability data.

책임이 있는

GitHub M

예약하다

2026. 03. 23.

모더레이션

수락

항목

VDB-353434

EPSS

0.00249

출처

Do you know our Splunk app?

Download it now for free!