מערכת n8n תיקנה באג שאפשר לספק התחברות אחד להתחזות למשתמש של ספק אחר
הפגיעות CVE-2026-59208, בעלת חומרה גבוהה (CVSS 7.6), גרמה למערכת n8n להתאים משתמשים אך ורק לפי ערך הנושא של ה-JWT, ללא תלות במנפיק.
- הפגם פגע בכל מערכת n8n שבה הופעלה החלפת אסימונים והוגדרו מספר מנפיקים מהימנים.
- הבעיה תוקנה בגרסאות 2.28.1 ו-2.27.4, ששוחררו לאחר החשיפה ב-24 ביוני 2026.
- החוקר bearsyankees דיווח על התקלה, והפתרון הזמני היחיד לפני העדכון היה הגדרת מנפיק יחיד.
למה זה חשוב: מערכת התחברות שבודקת את הטענה אך מתעלמת מהמקור אינה יכולה להבחין בין בן ברית למתחזה.
n8n Security Advisory GHSA-mq3m-f8x3-579w (GitHub) ↗ · 15 ביולי 202615.7.26 · ✓ נבדק✓