CVE-2026-54303
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 7 — wyżej niż 7% wszystkich znanych CVE
Streszczenie
W n8n przed wersją 2.24.0, endpoint w węzłach wyzwalaczy Meta i Microsoft Teams odbija parametr zapytania w odpowiedzi HTTP bez sanityzacji ani nagłówków Content-Security-Policy, co umożliwia odbite XSS w domenie n8n, gdy zalogowany użytkownik odwiedzi spreparowany URL.
Ocena ryzyka
Atakujący może wykraść sesję lub dane zalogowanego użytkownika, co prowadzi do przejęcia konta i nieautoryzowanego dostępu do przepływów pracy.
Rekomendacja
Zaleca się natychmiastową aktualizację n8n do wersji 2.24.0 lub nowszej, która zawiera poprawkę eliminującą podatność.
Oryginalny opis (angielski, źródło NVD)
n8n is an open source workflow automation platform. Prior to 2.24.0, an endpoint in the Meta and Microsoft Teams trigger nodes reflects a query parameter into the HTTP response without sanitization or Content-Security-Policy headers, enabling reflected XSS in the n8n origin when a logged-in user visits a crafted URL. This vulnerability is fixed in 2.24.0.

