Sourced News

Atom Brief

śr., 15 lip 2026 · 64 wiadomości · Potwierdzone · Subskrybuj
BEZPIECZEŃSTWO

n8n naprawia błąd pozwalający dostawcom logowania na podszywanie się pod użytkowników innych dostawców

Podatność CVE-2026-59208 o wysokim stopniu krytyczności (CVSS 7.6) sprawiała, że n8n dopasowywał użytkowników wyłącznie na podstawie wartości subject w JWT, ignorując wystawcę.

  • Luka dotyczyła każdej instancji n8n z włączoną wymianą tokenów i skonfigurowanymi wieloma zaufanymi wystawcami.
  • Problem rozwiązano w wersjach 2.28.1 oraz 2.27.4, wydanych po ujawnieniu luki 24 czerwca 2026 roku.
  • Błąd zgłosił badacz bearsyankees; przed aktualizacją jedynym sposobem mitygacji było ograniczenie konfiguracji do pojedynczego wystawcy.

Dlaczego to ważne: System logowania, który sprawdza oświadczenie, ale ignoruje jego źródło, nie potrafi odróżnić sojusznika od oszusta.

n8n Security Advisory GHSA-mq3m-f8x3-579w (GitHub) ↗ · 15 lip 202615.07.26 · ✓ Sprawdzone

Dołącz do społeczności.

Każdy artykuł jest weryfikowany z oryginalnymi dokumentami.