CVE-2026-33722 in n8nИнформация

Сводка

по VulDB • 05.06.2026

n8n — это платформа для автоматизации рабочих процессов с открытым исходным кодом. В версиях до 2.6.4 и 1.123.23 аутентифицированный пользователь, не имеющий разрешения на перечисление внешних секретов (external secrets), мог ссылаться на секрет по его внешнему имени в учетных данных и получать его значение в открытом виде при сохранении этих учетных данных. Это позволяло обойти проверку права `externalSecret:list` и получить доступ к секретами, хранящимся во подключенных хранилищах (vaults), без прав администратора или владельца. Для эксплуатации данной уязвимости в экземпляре n8n должно быть настроено внешнее хранилище секретов. Атакующий должен знать или иметь возможность предположить имя целевого секрета. Проблема исправлена в версиях n8n 1.123.23 и 2.6.4. Пользователям следует обновиться до одной из этих версий или более поздних для устранения уязвимости. Если немедленное обновление невозможно, администраторам рекомендуется рассмотреть следующие временные меры по снижению рисков: ограничить доступ к n8n только полностью доверенными пользователями и/или отключить интеграцию с внешними секретами до применения патча. Эти обходные пути не устраняют риск полностью и должны использоваться исключительно как краткосрочные меры защиты.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Ответственный

GitHub M

Резервировать

23.03.2026

Раскрытие

25.03.2026

Модерация

принято

Вход

VDB-353320

EPSS

0.00260

KEV

Нет

Деятельности

Очень низкий

Источники

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!