Sourced News

Atom Brief

mer. 15 juil. 2026 · 64 brèves · Vérifié · S'abonner
SÉCURITÉ

n8n corrige un bug permettant à un fournisseur de connexion d'usurper l'identité d'un utilisateur tiers

La faille CVE-2026-59208, classée gravité élevée (CVSS 7.6), permettait à n8n d'identifier les utilisateurs uniquement via la valeur objet du JWT, sans vérifier l'émetteur.

  • La faille touchait toute instance n8n ayant l'échange de jetons activé et plusieurs émetteurs de confiance configurés.
  • Corrigé dans les versions 2.28.1 et 2.27.4, publiées après la divulgation du 24 juin 2026.
  • Le chercheur bearsyankees a signalé le bug, la seule parade avant la mise à jour était une configuration à émetteur unique.

Pourquoi c'est important: Un système de connexion qui vérifie la déclaration mais pas sa source ne peut distinguer un allié d'un imposteur.

n8n Security Advisory GHSA-mq3m-f8x3-579w (GitHub) ↗ · 15 juil. 202615/07/26 · ✓ Vérifié

Rejoignez la communauté.

Chaque article est vérifié à partir du document source.