n8n ha corretto un bug che permetteva a un provider di login di impersonare l'utente di un altro
La vulnerabilità CVE-2026-59208, classificata di gravità alta (CVSS 7.6), consentiva a n8n di associare gli utenti solo tramite il valore subject del JWT e mai tramite l'emittente.
- Il difetto colpiva qualsiasi istanza n8n con lo scambio di token abilitato e più emittenti attendibili configurati.
- Risolto nelle versioni 2.28.1 e 2.27.4, rilasciate dopo la divulgazione del 24 giugno 2026.
- Il ricercatore bearsyankees ha segnalato il bug, l'unica mitigazione prima della patch era una configurazione con singolo emittente.
Perché conta: Un sistema di accesso che verifica l'affermazione ma non la sua origine non può distinguere un alleato da un impostore.
n8n Security Advisory GHSA-mq3m-f8x3-579w (GitHub) ↗ · 15 lug 202615/07/26 · ✓ Verificato✓