CVE-2026-33749 in n8nИнформация

Сводка

по VulDB • 29.05.2026

n8n — это платформа автоматизации рабочих процессов с открытым исходным кодом. В версиях до 1.123.27, 2.13.3 и 2.14.1 аутентифицированный пользователь, имеющий права на создание или изменение рабочих процессов, мог сформировать рабочий процесс, который генерирует бинарный объект HTML-данных без имени файла. Эндпоинт `/rest/binary-data` возвращал такие ответы в виде встроенного содержимого (inline) в домене n8n без заголовков `Content-Disposition` или `Content-Security-Policy`, что позволяло браузеру отрисовывать HTML с полным доступом к JavaScript в рамках той же политики одинакового происхождения (same-origin). Отправив полученный URL пользователю с более высокими привилегиями, злоумышленник мог выполнить JavaScript в аутентифицированной сессии жертвы, что позволяло эксфильтровать рабочие процессы и учетные данные, изменять рабочие процессы или повышать привилегии до уровня администратора. Проблема исправлена в версиях n8n 1.123.27, 2.13.3 и 2.14.1. Пользователям следует обновиться до одной из этих версий или более поздних для устранения уязвимости. Если немедленное обновление невозможно, администраторам следует рассмотреть следующие временные меры по снижению рисков: ограничить права на создание и редактирование рабочих процессов только полностью доверенными пользователями и/или ограничить сетевой доступ к экземпляру n8n, чтобы предотвратить доступ недоверенных пользователей к URL-адресам бинарных данных. Эти обходные решения не устраняют риск полностью и должны использоваться только как краткосрочные меры по снижению рисков.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Ответственный

GitHub M

Резервировать

23.03.2026

Раскрытие

25.03.2026

Модерация

принято

Вход

VDB-353434

EPSS

0.00249

KEV

Нет

Деятельности

Очень низкий

Источники

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!