n8n corrige un bug permettant à un fournisseur de connexion d'usurper l'identité d'un utilisateur tiers
La faille CVE-2026-59208, classée gravité élevée (CVSS 7.6), permettait à n8n d'identifier les utilisateurs uniquement via la valeur objet du JWT, sans vérifier l'émetteur.
- La faille touchait toute instance n8n ayant l'échange de jetons activé et plusieurs émetteurs de confiance configurés.
- Corrigé dans les versions 2.28.1 et 2.27.4, publiées après la divulgation du 24 juin 2026.
- Le chercheur bearsyankees a signalé le bug, la seule parade avant la mise à jour était une configuration à émetteur unique.
Pourquoi c'est important: Un système de connexion qui vérifie la déclaration mais pas sa source ne peut distinguer un allié d'un imposteur.
n8n Security Advisory GHSA-mq3m-f8x3-579w (GitHub) ↗ · 15 juil. 202615/07/26 · ✓ Vérifié✓