Katalog CVE

CVE-2026-56357

ŚrednieCVSS 4.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.19%

Percentyl 8 — wyżej niż 8% wszystkich znanych CVE

Streszczenie

n8n w wersjach przed 1.123.15 i 2.5.0 zawiera podatność na fałszowanie webhooków w węźle GitHub Webhook Trigger, która nie implementuje weryfikacji podpisu HMAC-SHA256. Atakujący, znając URL webhooka, mogą wysyłać niesigned POST requests, aby uruchomić workflow z dowolnymi danymi, podszywając się pod zdarzenia webhooków GitHub.

Ocena ryzyka

Podatność ta może prowadzić do nieautoryzowanego uruchamiania workflow w n8n, co może skutkować wyciekiem danych lub innymi niepożądanymi działaniami w systemie.

Rekomendacja

Zaleca się aktualizację n8n do wersji 1.123.15 lub 2.5.0, aby załatać tę podatność oraz wdrożenie dodatkowych mechanizmów zabezpieczających dla webhooków.

Oryginalny opis (angielski, źródło NVD)

n8n before 1.123.15 and 2.5.0 contains a webhook forgery vulnerability in the GitHub Webhook Trigger node that fails to implement HMAC-SHA256 signature verification. Attackers who know the webhook URL can send unsigned POST requests to trigger workflows with arbitrary data, spoofing GitHub webhook events.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS