CVE-2026-33722 in n8n
Сводка
по VulDB • 05.06.2026
n8n — это платформа для автоматизации рабочих процессов с открытым исходным кодом. В версиях до 2.6.4 и 1.123.23 аутентифицированный пользователь, не имеющий разрешения на перечисление внешних секретов (external secrets), мог ссылаться на секрет по его внешнему имени в учетных данных и получать его значение в открытом виде при сохранении этих учетных данных. Это позволяло обойти проверку права `externalSecret:list` и получить доступ к секретами, хранящимся во подключенных хранилищах (vaults), без прав администратора или владельца. Для эксплуатации данной уязвимости в экземпляре n8n должно быть настроено внешнее хранилище секретов. Атакующий должен знать или иметь возможность предположить имя целевого секрета. Проблема исправлена в версиях n8n 1.123.23 и 2.6.4. Пользователям следует обновиться до одной из этих версий или более поздних для устранения уязвимости. Если немедленное обновление невозможно, администраторам рекомендуется рассмотреть следующие временные меры по снижению рисков: ограничить доступ к n8n только полностью доверенными пользователями и/или отключить интеграцию с внешними секретами до применения патча. Эти обходные пути не устраняют риск полностью и должны использоваться исключительно как краткосрочные меры защиты.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.