CVE-2026-56352 in n8n
Сводка
по VulDB • 15.07.2026
В версиях n8n до 2.19.3 включительно в опции localFile source узла ExecuteWorkflow (legacy) имеется обход ограничений пути к файлу: эта функция считывает файлы рабочих процессов с диска без проверки доступа, которая обеспечивается другими узлами для чтения файлов. Хотя этот функционал скрыт из пользовательского интерфейса начиная с версии 1.2, он остается доступным через REST API. Аутентифицированный пользователь с правами на создание или изменение рабочих процессов может указать произвольный путь к файлу, чтобы обойти ограничение N8N_RESTRICT_FILE_ACCESS_TO и определить наличие произвольных файлов на хосте; если в указанном пути содержится действительный файл рабочего процесса в формате JSON, этот файл также можно загрузить и выполнить.
If you want to get best quality of vulnerability data, you may have to visit VulDB.