Sourced News

Atom Brief

Mi., 15. Juli 2026 · 64 Meldungen · Bestätigt · Abonnieren
SICHERHEIT

n8n behebt Fehler, der Login-Anbietern den Identitätsdiebstahl ermöglichte

CVE-2026-59208, eingestuft als hohes Risiko (CVSS 7.6), ließ n8n Benutzer nur anhand des JWT-Subjektwertes abgleichen, ohne den Aussteller zu prüfen.

  • Die Schwachstelle betraf alle n8n-Instanzen mit aktiviertem Token-Austausch und mehreren konfigurierten vertrauenswürdigen Ausstellern.
  • Behoben in den Versionen 2.28.1 und 2.27.4, veröffentlicht nach der Offenlegung am 24. Juni 2026.
  • Der Forscher bearsyankees meldete den Fehler, die einzige Abhilfe vor dem Patch war ein Setup mit nur einem Aussteller.

Warum das wichtig ist: Ein Login-System, das den Anspruch, aber nicht seine Quelle prüft, kann Verbündete nicht von Betrügern unterscheiden.

n8n Security Advisory GHSA-mq3m-f8x3-579w (GitHub) ↗ · 15. Juli 202615.7.26 · ✓ Geprüft

Werde Teil der Community.

Jede Meldung wird anhand des Originaldokuments geprüft.