CVE-2026-56352 in n8nthông tin

Tóm tắt

Bởi VulDB • 15/07/2026

n8n trước phiên bản 2.19.3 chứa một lỗ hổng bỏ qua hạn chế đường dẫn tệp trong tùy chọn localFile của node ExecuteWorkflow cũ (legacy), cho phép đọc các tệp workflow từ đĩa mà không thực hiện các kiểm tra truy cập tệp được áp dụng bởi các node đọc tệp khác. Mặc dù đã bị ẩn khỏi giao diện người dùng kể từ phiên bản v1.2, tính năng này vẫn có thể tiếp cận qua REST API. Người dùng đã xác thực với quyền tạo hoặc sửa đổi workflow có thể cung cấp một đường dẫn tệp tùy ý để bỏ qua hạn chế N8N_RESTRICT_FILE_ACCESS_TO và kiểm tra xem các tệp tùy ý có tồn tại trên máy chủ hay không; nếu đường dẫn mục tiêu chứa một tệp JSON workflow hợp lệ, thì tệp đó cũng có thể được tải và thực thi.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

chịu trách nhiệm

VulnCheck

Đặt trước

20/06/2026

Tiết lộ

15/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you need the next level of professionalism?

Upgrade your account now!