n8n behebt Fehler, der Login-Anbietern den Identitätsdiebstahl ermöglichte
CVE-2026-59208, eingestuft als hohes Risiko (CVSS 7.6), ließ n8n Benutzer nur anhand des JWT-Subjektwertes abgleichen, ohne den Aussteller zu prüfen.
- Die Schwachstelle betraf alle n8n-Instanzen mit aktiviertem Token-Austausch und mehreren konfigurierten vertrauenswürdigen Ausstellern.
- Behoben in den Versionen 2.28.1 und 2.27.4, veröffentlicht nach der Offenlegung am 24. Juni 2026.
- Der Forscher bearsyankees meldete den Fehler, die einzige Abhilfe vor dem Patch war ein Setup mit nur einem Aussteller.
Warum das wichtig ist: Ein Login-System, das den Anspruch, aber nicht seine Quelle prüft, kann Verbündete nicht von Betrügern unterscheiden.
n8n Security Advisory GHSA-mq3m-f8x3-579w (GitHub) ↗ · 15. Juli 202615.7.26 · ✓ Geprüft✓