n8n Perbaiki Bug yang Membiarkan Penyedia Login Meniru Pengguna Lain
CVE-2026-59208, dengan tingkat keparahan Tinggi (CVSS 7.6), membuat n8n mencocokkan pengguna hanya berdasarkan nilai subject JWT, bukan penerbitnya.
- Celah ini menyerang semua instans n8n dengan pertukaran token aktif dan beberapa penerbit tepercaya yang dikonfigurasi.
- Diperbaiki dalam versi 2.28.1 dan 2.27.4, dirilis setelah pengungkapan pada 24 Juni 2026.
- Peneliti bearsyankees melaporkan bug tersebut, satu-satunya mitigasi sebelum penambalan adalah penyiapan penerbit tunggal.
Mengapa ini penting: Sistem masuk yang memeriksa klaim tetapi bukan sumbernya tidak bisa membedakan sekutu dengan penipu.
n8n Security Advisory GHSA-mq3m-f8x3-579w (GitHub) ↗ · 15 Jul 202615/7/26 · ✓ Terverifikasi✓