CVE-2026-33722 in n8nthông tin

Tóm tắt

Bởi VulDB • 05/06/2026

n8n là một nền tảng tự động hóa quy trình làm việc mã nguồn mở. Trước các phiên bản 2.6.4 và 1.123.23, người dùng đã xác thực nhưng không có quyền liệt kê bí mật bên ngoài (external secrets) có thể tham chiếu đến một bí mật bằng tên bên ngoài trong thông tin đăng nhập (credential) và truy xuất giá trị dạng văn bản rõ của nó khi lưu trữ thông tin đăng nhập đó. Điều này đã bỏ qua kiểm tra quyền `externalSecret:list` và cho phép truy cập vào các bí mật được lưu trữ trong các kho chứa kết nối mà không cần đặc quyền quản trị viên hoặc chủ sở hữu. Vấn đề này yêu cầu phiên bản n8n phải có cấu hình một kho chứa bí mật bên ngoài (external secrets vault). Kẻ tấn công phải biết hoặc có thể đoán tên của bí mật mục tiêu. Sự cố đã được khắc phục trong các phiên bản n8n 1.123.23 và 2.6.4. Người dùng nên nâng cấp lên một trong những phiên bản này trở đi để xử lý lỗ hổng bảo mật. Nếu việc nâng cấp không thể thực hiện ngay lập tức, quản trị viên nên xem xét các biện pháp giảm thiểu tạm thời sau đây: Hạn chế quyền truy cập n8n chỉ dành cho người dùng hoàn toàn đáng tin cậy và/hoặc vô hiệu hóa tích hợp bí mật bên ngoài cho đến khi bản vá có thể được áp dụng. Các giải pháp thay thế này không khắc phục triệt để rủi ro và chỉ nên được sử dụng như các biện pháp giảm thiểu ngắn hạn.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

23/03/2026

Tiết lộ

25/03/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00260

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you need the next level of professionalism?

Upgrade your account now!