n8n naprawia błąd pozwalający dostawcom logowania na podszywanie się pod użytkowników innych dostawców
Podatność CVE-2026-59208 o wysokim stopniu krytyczności (CVSS 7.6) sprawiała, że n8n dopasowywał użytkowników wyłącznie na podstawie wartości subject w JWT, ignorując wystawcę.
- Luka dotyczyła każdej instancji n8n z włączoną wymianą tokenów i skonfigurowanymi wieloma zaufanymi wystawcami.
- Problem rozwiązano w wersjach 2.28.1 oraz 2.27.4, wydanych po ujawnieniu luki 24 czerwca 2026 roku.
- Błąd zgłosił badacz bearsyankees; przed aktualizacją jedynym sposobem mitygacji było ograniczenie konfiguracji do pojedynczego wystawcy.
Dlaczego to ważne: System logowania, który sprawdza oświadczenie, ale ignoruje jego źródło, nie potrafi odróżnić sojusznika od oszusta.
n8n Security Advisory GHSA-mq3m-f8x3-579w (GitHub) ↗ · 15 lip 202615.07.26 · ✓ Sprawdzone✓