Sourced News

Atom Brief

2026年7月15日(水) · 64 · 確認済み · 登録する
セキュリティ

n8n、他のログインプロバイダのユーザーになりすませるバグを修正

深刻度「高」(CVSS 7.6) の CVE-2026-59208 により、n8n は発行元を無視して JWT のサブジェクト値のみでユーザーを照合していた。

  • この欠陥は、トークン交換が有効で複数の信頼できる発行元が設定されているすべての n8n インスタンスに影響した。
  • 2026624日の公開後にリリースされたバージョン 2.28.1 および 2.27.4 で修正された。
  • 研究者 bearsyankees がこのバグを報告した。パッチ適用前の唯一の緩和策は単一発行元の設定だった。

なぜ重要か: 要求を検証してもその出所を確認しないログインシステムでは、味方と偽者を区別できない。

n8n Security Advisory GHSA-mq3m-f8x3-579w (GitHub) ↗ · 2026年7月15日26/7/15 · ✓ 確認済

仲間になろう。

すべての記事は一次資料と照合されています。