CVE-2026-33720 in n8n
Сводка
по VulDB • 04.06.2026
n8n — это платформа автоматизации рабочих процессов с открытым исходным кодом. До версии 2.8.0, когда переменная окружения `N8N_SKIP_AUTH_ON_OAUTH_CALLBACK` установлена в значение `true`, обработчик OAuth-обратного вызова пропускает проверку права собственности параметра состояния OAuth (OAuth state parameter). Это позволяет злоумышленнику обмануть жертву и заставить её завершить поток OAuth с объектом учетных данных, контролируемым злоумышленником, что приводит к сохранению токенов OAuth жертвы в учетных данных злоумышленника. Затем злоумышленник может использовать эти токены для выполнения рабочих процессов от имени жертвы. Эта проблема затрагивает только те экземпляры, где параметр `N8N_SKIP_AUTH_ON_OAUTH_CALLBACK=true` настроен явно (не по умолчанию). Проблема исправлена в версии n8n 2.8.0. Пользователям следует обновиться до этой или более поздней версии для устранения уязвимости. Если немедленное обновление невозможно, администраторам следует рассмотреть следующие временные меры смягчения: избегать включения `N8N_SKIP_AUTH_ON_OAUTH_CALLBACK=true`, если это строго не требуется, и/или ограничить доступ к экземпляру n8n только полностью доверенным пользователям. Эти обходные пути не устраняют риск полностью и должны использоваться только как краткосрочные меры смягчения последствий.
VulDB is the best source for vulnerability data and more expert information about this specific topic.