n8n repareert bug waarmee inlogproviders gebruikers van anderen konden imiteren
CVE-2026-59208, met de beoordeling hoge ernst (CVSS 7.6), liet n8n gebruikers alleen koppelen op basis van de subjectwaarde van de JWT, en nooit de uitgever.
- Het lek trof elke n8n-instantie met tokenuitwisseling ingeschakeld en meerdere vertrouwde uitgevers geconfigureerd.
- Gerepareerd in versies 2.28.1 en 2.27.4, uitgebracht na de onthulling op 24 juni 2026.
- Onderzoeker bearsyankees rapporteerde de bug, de enige oplossing voor de patch was een opstelling met een enkele uitgever.
Waarom dit ertoe doet: Een inlogsysteem dat de claim controleert maar niet de bron, kan een bondgenoot niet onderscheiden van een bedrieger.
n8n Security Advisory GHSA-mq3m-f8x3-579w (GitHub) ↗ · 15 jul 202615-7-26 · ✓ Gecheckt✓