CVE-2026-56351
WysokieCVSS 8.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 12 — wyżej niż 12% wszystkich znanych CVE
Streszczenie
Podatność SQL injection w węzłach MySQL, PostgreSQL i Microsoft SQL w n8n przed wersją 2.4.0 pozwala uwierzytelnionym użytkownikom na wstrzykiwanie dowolnego kodu SQL poprzez niepoprawne escapowanie identyfikatorów w parametrach konfiguracyjnych węzłów. Atakujący z uprawnieniami do tworzenia przepływów pracy mogą podać spreparowane nazwy tabel lub kolumn, aby wykonać nieautoryzowane polecenia bazy danych i naruszyć integralność danych.
Ocena ryzyka
Ryzyko obejmuje nieautoryzowany dostęp do danych, ich modyfikację lub usunięcie, a także potencjalne przejęcie kontroli nad bazą danych przez atakującego.
Rekomendacja
Należy niezwłocznie zaktualizować n8n do wersji 2.4.0 lub nowszej, która zawiera poprawkę eliminującą podatność.
Oryginalny opis (angielski, źródło NVD)
n8n before version 2.4.0 contains a sql injection vulnerability in MySQL, PostgreSQL, and Microsoft SQL nodes that allows authenticated users to inject arbitrary SQL through unescaped identifier values in node configuration parameters. Attackers with workflow creation permissions can supply specially crafted table or column names to execute unauthorized database commands and compromise data integrity.

