CVE-2026-33722 in n8ninformação

Sumário

de VulDB • 05/06/2026

O n8n é uma plataforma de automação de fluxos de trabalho de código aberto. Antes das versões 2.6.4 e 1.123.23, um usuário autenticado sem permissão para listar segredos externos poderia referenciar um segredo pelo nome externo em credenciais e recuperar seu valor em texto claro ao salvar a credencial. Isso contornou a verificação de permissão `externalSecret:list` e permitiu o acesso aos segredos armazenados em cofres conectados sem privilégios de administrador ou proprietário. Este problema requer que a instância tenha um cofre de segredos externos configurado. O atacante deve conhecer ou ser capaz de adivinhar o nome do segredo alvo. A questão foi corrigida nas versões 1.123.23 e 2.6.4 do n8n. Os usuários devem atualizar para uma dessas versões ou posterior para remediar a vulnerabilidade. Se a atualização não for imediatamente possível, os administradores devem considerar as seguintes mitigações temporárias: restringir o acesso ao n8n apenas aos usuários totalmente confiáveis e/ou desativar a integração de segredos externos até que o patch possa ser aplicado. Essas soluções alternativas não removem completamente o risco e só devem ser usadas como medidas de mitigação de curto prazo.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsável

GitHub M

Reservar

23/03/2026

Divulgação

25/03/2026

Moderação

aceite

Entrada

VDB-353320

CPE

pronto

EPSS

0.00260

KEV

não

Atividades

muito baixo

Fontes

Do you want to use VulDB in your project?

Use the official API to access entries easily!