CVE-2026-56348
KrytyczneCVSS 9.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 16 — wyżej niż 16% wszystkich znanych CVE
Streszczenie
n8n w wersjach przed 2.20.0 zawiera podatność na wyciek poświadczeń w punkcie końcowym POST /rest/dynamic-node-parameters/options, co pozwala uwierzytelnionym użytkownikom na obejście ograniczeń dotyczących dozwolonych domen żądań HTTP. Atakujący z dostępem do poświadczeń mogą zmusić serwer n8n do wysyłania żądań HTTP z poświadczeniami do nieautoryzowanych hostów.
Ocena ryzyka
Organizacja narażona jest na wyciek wrażliwych danych uwierzytelniających, co może prowadzić do nieautoryzowanego dostępu do systemów i danych. W przypadku wykorzystania tej podatności, atakujący mogą uzyskać dostęp do poufnych informacji.
Rekomendacja
Zaleca się aktualizację n8n do wersji 2.20.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt dostępu do poświadczeń oraz monitorować logi serwera w celu wykrycia potencjalnych nadużyć.
Oryginalny opis (angielski, źródło NVD)
n8n before 2.20.0 contains a credential exfiltration vulnerability in the POST /rest/dynamic-node-parameters/options endpoint that allows authenticated users to bypass Allowed HTTP Request Domains restrictions. Attackers with credential access can cause the n8n server to issue HTTP requests with credentials to unauthorized hosts, exfiltrating sensitive authentication data.

