CVE-2026-33720 in n8nИнформация

Сводка

по VulDB • 04.06.2026

n8n — это платформа автоматизации рабочих процессов с открытым исходным кодом. До версии 2.8.0, когда переменная окружения `N8N_SKIP_AUTH_ON_OAUTH_CALLBACK` установлена в значение `true`, обработчик OAuth-обратного вызова пропускает проверку права собственности параметра состояния OAuth (OAuth state parameter). Это позволяет злоумышленнику обмануть жертву и заставить её завершить поток OAuth с объектом учетных данных, контролируемым злоумышленником, что приводит к сохранению токенов OAuth жертвы в учетных данных злоумышленника. Затем злоумышленник может использовать эти токены для выполнения рабочих процессов от имени жертвы. Эта проблема затрагивает только те экземпляры, где параметр `N8N_SKIP_AUTH_ON_OAUTH_CALLBACK=true` настроен явно (не по умолчанию). Проблема исправлена в версии n8n 2.8.0. Пользователям следует обновиться до этой или более поздней версии для устранения уязвимости. Если немедленное обновление невозможно, администраторам следует рассмотреть следующие временные меры смягчения: избегать включения `N8N_SKIP_AUTH_ON_OAUTH_CALLBACK=true`, если это строго не требуется, и/или ограничить доступ к экземпляру n8n только полностью доверенным пользователям. Эти обходные пути не устраняют риск полностью и должны использоваться только как краткосрочные меры смягчения последствий.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Ответственный

GitHub M

Резервировать

23.03.2026

Раскрытие

25.03.2026

Модерация

принято

Вход

VDB-353319

EPSS

0.00180

KEV

Нет

Деятельности

Очень низкий

Источники

Want to know what is going to be exploited?

We predict KEV entries!