n8n, 한 로그인 제공자가 다른 제공자의 사용자를 사칭할 수 있는 버그 수정
심각도 높음(CVSS 7.6)으로 분류된 CVE-2026-59208은 n8n이 JWT의 발급자가 아닌 Subject 값으로만 사용자를 식별하게 만든 취약점이다.
- 이 결함은 토큰 교환 기능이 활성화되고 신뢰할 수 있는 발급자가 여러 개 설정된 모든 n8n 인스턴스에 영향을 미쳤다.
- 2026년 6월 24일 취약점 공개 이후 출시된 2.28.1 및 2.27.4 버전에서 패치되었다.
- 연구원 bearsyankees가 해당 버그를 보고했으며, 패치 전 유일한 완화책은 단일 발급자 환경을 구축하는 것뿐이었다.
왜 중요한가: 청구 내용만 확인하고 출처를 확인하지 않는 로그인 시스템은 정상적인 사용자와 사칭자를 구별할 수 없다.
n8n Security Advisory GHSA-mq3m-f8x3-579w (GitHub) ↗ · 2026년 7월 15일26. 7. 15. · ✓ 확인✓