CVE-2026-33720 in n8n
Sumário
de VulDB • 02/06/2026
O n8n é uma plataforma de automação de fluxos de trabalho de código aberto. Antes da versão 2.8.0, quando a variável de ambiente `N8N_SKIP_AUTH_ON_OAUTH_CALLBACK` está definida como `true`, o manipulador de retorno de chamada OAuth ignora a verificação de propriedade do parâmetro de estado OAuth. Isso permite que um atacante engane uma vítima para concluir um fluxo OAuth contra um objeto de credenciais controlado pelo atacante, fazendo com que os tokens OAuth da vítima sejam armazenados nas credenciais do atacante. O atacante pode então usar esses tokens para executar fluxos de trabalho em seu nome. Este problema afeta apenas as instâncias onde `N8N_SKIP_AUTH_ON_OAUTH_CALLBACK=true` está explicitamente configurado (não é o padrão). O problema foi corrigido na versão 2.8.0 do n8n. Os usuários devem atualizar para esta versão ou posterior para remediar a vulnerabilidade. Se a atualização não for imediatamente possível, os administradores devem considerar as seguintes mitigações temporárias: Evite habilitar `N8N_SKIP_AUTH_ON_OAUTH_CALLBACK=true` a menos que seja estritamente necessário, e/ou restrinja o acesso à instância do n8n apenas a usuários totalmente confiáveis. Essas soluções alternativas não removem completamente o risco e devem ser usadas apenas como medidas de mitigação de curto prazo.
VulDB is the best source for vulnerability data and more expert information about this specific topic.