VDB-344384 · CVE-2026-21893 · GHSA-7c4h-vh2m-743m

n8n-io n8n до 1.120.2 Community Package Installation эскалация привилегий

CVSS Meta Temp Score	Текущая цена эксплойта (≈)	Балл интереса CTI
5.8	$0-$5k	0.00

СводкаИнформация

Уязвимость была найдена в n8n-io n8n до 1.120.2. Она была объявлена как критический. Затронута неизвестная функция компонента Community Package Installation Handler. Манипуляция приводит к эскалация привилегий. Выявление этой уязвимости является CVE-2026-21893. Есть возможность удалённого запуска атаки. Эксплойт недоступен. Рекомендуется выполнить обновление уязвимого компонента.

ПодробностиИнформация

Уязвимость была найдена в n8n-io n8n до 1.120.2. Она была объявлена как критический. Затронута неизвестная функция компонента Community Package Installation Handler. Манипуляция приводит к эскалация привилегий. Использование классификатора CWE для обозначения проблемы ведет к CWE-78. Слабость была опубликована под идентификатором GHSA-7c4h-vh2m-743m. Консультация представлена на сайте github.com.

Выявление этой уязвимости является CVE-2026-21893. Присвоение CVE было выполнено 05.01.2026. Есть возможность удалённого запуска атаки. Технические детали недоступны. Популярность этой уязвимости ниже среднего. Эксплойт недоступен. Текущая цена за эксплойт может составлять около USD $0-$5k в настоящее время. Проект MITRE ATT&CK использует технику атаки T1202 для этой проблемы.

Задано как Не определено. Сканер уязвимостей Nessus предоставляет плагин с ID 298982 (n8n Node.js Package >= 0.187.0 < 1.120.3 Command Injection (CVE-2026-21893)), который помогает определить наличие изъяна в целевой среде.

Обновление до версии 1.120.3 способно решить эту проблему. Название патча следующее ae0669a736cc496beeb296e115267862727ae838. Исправление готово для загрузки по адресу github.com. Рекомендуется выполнить обновление уязвимого компонента.

Информация об уязвимости также содержится в других базах данных уязвимостей: Tenable (298982).

Затронуто

n8n n8n

ПродуктИнформация

Поставщик

n8n-io

Имя

Версия

Лицензия

Открытый исходный код

Веб-сайт

Продукт: https://github.com/n8n-io/n8n/

CPE 2.3Информация

CPE 2.2Информация

CVSSv4Информация

VulDB Вектор: 🔒
VulDB Надёжность: 🔍

CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA Вектор: 🔒

CVSSv3Информация

VulDB Meta Base Score: 5.9
VulDB Meta Temp Score: 5.8

VulDB Базовый балл: 4.7
VulDB Временная оценка: 4.5
VulDB Вектор: 🔒
VulDB Надёжность: 🔍

NVD Базовый балл: 7.2
NVD Вектор: 🔒

CVSSv2Информация

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Вектор	Сложность	Аутентификация	Конфиденциальность	Целостность	Доступность
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать

VulDB Базовый балл: 🔒
VulDB Временная оценка: 🔒
VulDB Надёжность: 🔍

ЭксплуатацияИнформация

Класс: эскалация привилегий
CWE: CWE-78 / CWE-77 / CWE-74
CAPEC: 🔒
ATT&CK: 🔒

Физический: Нет
Локальный: Нет
Удалённый: Да

Доступность: 🔒
Статус: Не определено

EPSS Score: 🔒
EPSS Percentile: 🔒

Прогноз цен: 🔍
Оценка текущей цены: 🔒

0-Day	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Сегодня	Разблокировать	Разблокировать	Разблокировать	Разблокировать

Nessus ID: 298982
Nessus Имя: n8n Node.js Package >= 0.187.0 < 1.120.3 Command Injection (CVE-2026-21893)

Разведка угрозИнформация

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформация

Рекомендация: Обновление
Статус: 🔍

0-дневное время: 🔒

Обновление: n8n 1.120.3
Патч: ae0669a736cc496beeb296e115267862727ae838

ХронологияИнформация

05.01.2026 CVE присвоен
04.02.2026 +30 дни Консультация опубликована
04.02.2026 +0 дни Запись VulDB создана
20.02.2026 +16 дни Последнее обновление VulDB