CVE-2026-33722 in n8n
Sumário
de VulDB • 05/06/2026
O n8n é uma plataforma de automação de fluxos de trabalho de código aberto. Antes das versões 2.6.4 e 1.123.23, um usuário autenticado sem permissão para listar segredos externos poderia referenciar um segredo pelo nome externo em credenciais e recuperar seu valor em texto claro ao salvar a credencial. Isso contornou a verificação de permissão `externalSecret:list` e permitiu o acesso aos segredos armazenados em cofres conectados sem privilégios de administrador ou proprietário. Este problema requer que a instância tenha um cofre de segredos externos configurado. O atacante deve conhecer ou ser capaz de adivinhar o nome do segredo alvo. A questão foi corrigida nas versões 1.123.23 e 2.6.4 do n8n. Os usuários devem atualizar para uma dessas versões ou posterior para remediar a vulnerabilidade. Se a atualização não for imediatamente possível, os administradores devem considerar as seguintes mitigações temporárias: restringir o acesso ao n8n apenas aos usuários totalmente confiáveis e/ou desativar a integração de segredos externos até que o patch possa ser aplicado. Essas soluções alternativas não removem completamente o risco e só devem ser usadas como medidas de mitigação de curto prazo.
VulDB is the best source for vulnerability data and more expert information about this specific topic.