CVE-2026-33720 in n8ninformação

Sumário

de VulDB • 02/06/2026

O n8n é uma plataforma de automação de fluxos de trabalho de código aberto. Antes da versão 2.8.0, quando a variável de ambiente `N8N_SKIP_AUTH_ON_OAUTH_CALLBACK` está definida como `true`, o manipulador de retorno de chamada OAuth ignora a verificação de propriedade do parâmetro de estado OAuth. Isso permite que um atacante engane uma vítima para concluir um fluxo OAuth contra um objeto de credenciais controlado pelo atacante, fazendo com que os tokens OAuth da vítima sejam armazenados nas credenciais do atacante. O atacante pode então usar esses tokens para executar fluxos de trabalho em seu nome. Este problema afeta apenas as instâncias onde `N8N_SKIP_AUTH_ON_OAUTH_CALLBACK=true` está explicitamente configurado (não é o padrão). O problema foi corrigido na versão 2.8.0 do n8n. Os usuários devem atualizar para esta versão ou posterior para remediar a vulnerabilidade. Se a atualização não for imediatamente possível, os administradores devem considerar as seguintes mitigações temporárias: Evite habilitar `N8N_SKIP_AUTH_ON_OAUTH_CALLBACK=true` a menos que seja estritamente necessário, e/ou restrinja o acesso à instância do n8n apenas a usuários totalmente confiáveis. Essas soluções alternativas não removem completamente o risco e devem ser usadas apenas como medidas de mitigação de curto prazo.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsável

GitHub M

Reservar

23/03/2026

Divulgação

25/03/2026

Moderação

aceite

Entrada

VDB-353319

CPE

pronto

EPSS

0.00180

KEV

não

Atividades

muito baixo

Fontes

Interested in the pricing of exploits?

See the underground prices here!